利用木马病毒盗取信息的诈骗是怎样实现的?
木马程序属于计算机病毒的一种,但与一般的病毒不同,它一般不会进行自我复制,也并不会“刻意”去感染其他文件。它通常会伪装成程序包、压缩文件、图片、视频等形式,通过短信、网页、邮件等渠道引诱用户下载安装。如您打开了此类木马程序,您的电脑或手机等电子设备便会被编写木马程序的不法分子所控制,从而造成信息文件被修改或窃取、电子账户资金被盗用等危害。例如,目前有不法分子利用伪基站冒充银行发送短信,短信中的链接其实是一个“钓鱼网站”,而下载的客户端实际上是一个木马病毒。不法分子利用木马病毒窃取卡片信息并进行网络购物,同时将发送到客户手机上的短信验证码转移到了自己的手机上,从而完成支付。
为防范上述诈骗行为,保护您的账户资金安全,向您提出以下建议:
1.不法分子能利用“伪基站”冒充任意号码发送短信,因此即使收到中奖、软件推荐等显示为官方号码发送的短信,仍需保持警惕,建议回拨进行确认。
2.木马病毒往往会伪装成其他应用,并通过“钓鱼网站”、短信、图片、邮件、压缩包、聊天软件等方式传播,建议不要随意点击来历不明的应用软件等内容。
3.安装防火墙及杀毒软件,定期杀毒并定期更新系统补丁,保护移动终端安全。
4.下载网银支付类应用要到官方网站进行下载。
5.开通短信通知服务,账户发生异常变化后,及时联系银行,封锁账户或挂失卡片。
木马病毒
可以使用金山清理专家扫描恶意软件
下载地址:http://www.duba.net
如果可以找到病毒文件的具体位置 可以使用百宝箱里的文件粉碎器
粉碎掉病毒文件(找不到病毒文件 继续下步操作)
然后使用windows清理助手清理系统
http://www.arswp.com/download/arswp/arswp.rar
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINESOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
SharedAccessParametersFiREWaLLpolicyStAnDaRDPrOFiLe
AUtHorizedapplicationsList
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
最近十分头疼的木马病毒,谁能彻底查杀?
病毒名称有Adware.的都是流氓软件
Adware的意思是当主要用户界面不可见或者被相关软件觉察没有显示时,会自动弹出或者隐藏广告的流氓软件。
建议使用超级兔子安全模式下删除流氓软件
超级兔子是一个完整的系统维护工具,可能清理你大多数的文件、注册表里面的垃圾,同时还有强力的软件卸载功能,专业的卸载可以清理一个软件在电脑内的所有记录。
超级兔子魔法设置 V7.76
----------------------------------
http://www.pctutu.com/news.asp?id=88
2006-8-10 超级兔子7.76
一、超级兔子优化王7.76
1 特别修改程序,不让流氓软件影响软件运作!
2 新增以下软件卸载
2006-8-9 超级兔子7.75
一、超级兔子优化王7.75
1 修正卸载个别软件的重启问题
2 新增以下软件卸载
8848天下搜索
Zango
KooWo
Youyi7
忆多多
Kmedia 插件
npf
分类哥哥
3 改进以下软件卸载
WebKW
CNNIC上网官方版
CNNIC 无忧上网
IE-Bar
5Kee
百狗搜索
易虎
iGame总动员
159定向搜索
星座运程
4 可完整卸载150种流氓软件和IE插件
二、完全免费,无需注册,无需设置IE主页,
即可使用所有功能,提供免费在线升级
不捆绑任何其它软件。
回答者: chizhenwei - 状元 十五级 8-30 16:21
建议把硬盘全部格式化,而不是单单格式化C盘.进行重装系统.如果问题依旧存在.换张系统盘试试.
回答者:月堡主 - 试用期 一级 8-30 16:21
和我的问题一样,朋友,建议你重装系统,然后去杀除了C盘以外的盘附,以后上网要防火墙,尽量少点记那些看上去就会有木马存在的网站(比如广告非常多,容易弹广告的网站),还有色情网站,这样就不会有什么问题了,浏览器最好换成腾讯的TT,他有广告拦截和查件管理!
回答者:血祭铃兰 - 经理 四级 8-30 16:21
国内的杀毒软件就是垃圾 用这个俄罗斯的软件有世界领先水准 下一个俄罗斯的《卡基巴斯反病毒》软件
网址是:http://www.kaspersky.com.cn/KL-Downloads/KL-Product5.0.htm
下载那个《卡巴斯基®互联网安全套装6.0个人版》
装上后,然后对整个电脑进行扫毒,有提示病毒,点删除就可以了
病毒一般解决方案(原创)
首先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况:(如果是IE上网浏览的问题及其他与IE有关问题,先阅读步骤4 !!)
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。
C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块。(慎用)
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。
开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2办。
6.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者!
病毒一般解决方案(原创) 转载请注明原作者恋曲2010
我的问题一样,朋友,建议你重装系统,然后去杀除了C盘以外的盘附,以后上网要防火墙,尽量少点记那些看上去就会有木马存在的网站(比如广告非常多,容易弹广告的网站),还有色情网站,这样就不会有什么问题了,浏览器最好换成腾讯的TT,他有广告拦截和查件管理!
2017重大木马事件
最大的就是勒索病毒了吧
1,杀毒软件直接杀毒不就得了么
2,安装个电脑管家到电脑上
3,然后使用病毒查杀,对着你的电脑杀毒就行了
案例分析:2017年11月,江苏淮安公安机关接到居民贾某报案称,有人利用QQ视频冒充其在国外工作的?
案例分析:2017年11月,江苏淮安公安机关接到居民贾某报案称,有人利用QQ视频冒充其在国外工作的?注意安全谨防上当受骗
一场病毒木马入侵事故
你有没有上什么非官方的网站,还有你的IE是什么版本的。感觉着你好像被人入侵了,教你关掉点端品希望对你有用。
一般情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口
和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),
以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,
选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,
选择“创建 IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,
为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把
“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,
然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,
弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,
目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,
然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个
屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,
重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,
表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,
点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,
然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,
点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,
按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
木马病毒等问题
15年经验帮你搞定,绝妙配合:360玩固木马清除(不是360哟!不是360哟)+小红伞
100%搞定方案:
1用顶级玩固木马专杀:www,360,cn里面有一个玩固木马专杀
打开后,必须勾选强力查杀,如果打不开,可以把盾牌图标重新任意改名后,就可以启动了。查杀完后,再下载小红伞9.0版本中文版,
如果杀后还有,装上小红伞9.0,木马杀完了,基本上全部搞定
2配合用国外的“小红伞”杀毒
330万台老年机被植入木马病毒,这些犯罪团伙将受到怎样的处罚?
赔偿。首先肯定要对此一些列损失做出赔偿,然后也要受到法律的制裁。