什么是木马病毒
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
蠕虫和木马的概念、表现及如何破坏?
什么是木马?
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
什么是病毒?
病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。
病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。
与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。
什么是蠕虫?
与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它自动进行。首先,它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫,蠕虫即可独自传播。最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时,它们传播的速度非常快。它们堵塞网络并可能导致您(以及其他每个人)等很长的时间才能查看 Internet 上的网页。
蠕虫 (n.):病毒的子类。通常,蠕虫传播无需用户操作,并可通过网络分发它自己的完整副本(可能有改动)。蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
蠕虫的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机。最近的蠕虫示例包括 Sasser 蠕虫和 Blaster 蠕虫。
什么是特洛伊木马?
在神话传说中,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊城的希腊士兵。现在,特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现,电子邮件包含的附件声称是 Microsoft 安全更新程序,但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。
特洛伊木马 (n.):一种表面上有用、实际上起破坏作用的计算机程序。
一旦用户禁不起诱惑打开了以为来自合法来源的程序,特洛伊木马便趁机传播。为了更好地保护用户,Microsoft 常通过电子邮件发出安全公告,但这些邮件从不包含附件。在用电子邮件将安全警报发送给客户之前,我们也会在安全网站上公布所有安全警报。
特洛伊木马也可能包含在免费下载软件中。切勿从不信任的来源下载软件。始终从 Microsoft Update 或 Microsoft Office Update 下载 Microsoft 更新程序或修补程序。
蠕虫和其他病毒如何传播?
实际上,所有病毒和许多蠕虫是无法传播的,除非您打开或运行了受感染的程序。
很多最危险的病毒主要通过电子邮件附件(随电子邮件一起发送的文件)传播。通常,可判断电子邮件是否包含附件,因为您将看到表示附件且包括附件名称的回形针图标。有些文件格式(例如,图片、用 Microsoft Word 写的信件或 Excel 电子表格)可能是每天都要通过电子邮件接收的。当打开受感染的文件附件(通常是双击附件图标以打开附件)时,就会启动病毒。
提示:切勿打开附加在电子邮件中的任何内容,除非附件是您期望的文件且您清楚该文件的内容。
如果收到陌生人发来的带附件的邮件,请立即删除它。不幸的是,有时打开来自熟人的附件也可能不安全。病毒和蠕虫都能从电子邮件程序中窃取信息,然后将自已发送给地址簿中的所有联系人。因此,如果某人发来一封电子邮件,但其中的消息您并不了解,或其中的附件不是您期望的文件,请一定先与发件人联系并确认附件内容,然后再打开文件。
另一些病毒可能通过从 Internet 下载的程序进行传播,或通过从朋友那里借来的或甚至是从商店买来的带病毒计算机磁盘进行传播。这些属于比较少见的病毒感染方式。大多数人是因为打开和运行不认识的电子邮件附件感染病毒。
如何判断你的电脑是否含病毒资料
电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。
症状 病毒的入侵的可能性 软、硬件故障的可能性
经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。
软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。
键盘或鼠标无端地锁死:病毒作怪,特别要留意"木马";键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。
系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
木马入侵主要手段
木马,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序,是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大,因此,如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。
1 木马的实现原理及特征
1.1 木马的实现原理
从本质上看,木马都是网络客户/服务模式,它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。
当攻击者要利用木马进行网络入侵,一般都要完成“向目标主机传播木马”,“启动和隐藏木马”,“建立连接”,“远程控制”等环节。
1.2 木马的特征
一个典型的木马程序通常具有以下四个特征:隐蔽性、欺骗性、顽固性和危害性。
(1)隐蔽性:隐蔽性是木马的生命力,也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面:
a.不产生图标。木马虽然在系统启动时会自动运行,但它不会在“任务栏”中产生一个图标。
b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。
(2)欺骗性:木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常常修改几个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中而已。
(3)顽固性:很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。当木马被检查出来以后,仅仅删除木马程序是不行的,有的木马使用文件关联技术,当打开某种类型的文件时,这种木马又重新生成并运行。
(4)危害性:当木马被植入目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码,控制系统的运行,进行有关文件的操作以及修改注册表等。
2 木马入侵手段
木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高,木马的入侵手段也随着发生了许多变化。
2.1木马的传统入侵手段
所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式,主要有以下几种:
1)电子邮件(E-mail)进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。
2)网络下载进行传播:一般的木马服务端程序都不是很大,最大也不超过200K,有的甚至只有几K。如果把木马捆绑到其它正常文件上,是很难发现的。一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播:由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面,他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。
3)网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,Java Applet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。
4)利用系统的一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。
5)远程入侵进行传播:黑客通过破解密码和建立IPC$远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然后通过远程操作让木马程序在某一个时间运行。
2.2 木马入侵手段的发展
以上的木马入侵手段虽然使用广泛,但也很容易引起用户的警觉,所以一些新的入侵手段也相继出现,主要有:
1) 基于DLL和远程线程插入的木马植入
这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Load Library函数来加载木马DLL,从而实现木马的传播。
2)利用蠕虫病毒传播木马
以前的木马传播大都比较被动,而使用E-mail传播效率又太低,系统漏洞很快又被打上补丁,所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上大批量地进行传播、复制,这就加快了木马的传播速度,扩大了其传播范围。
3 木马的防范措施
为了减少或避免木马给主机以及网络带来危害,我们可以从两方面来有效地防范木马:使用防火墙阻止木马入侵以及及时查杀入侵后的木马。
防火墙是抵挡木马入侵的第一道门,也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是,仍然有一些木马可以绕过防火墙进入目标主机(比如反弹端口木马),还有一些将端口寄生在合法端口上的木马,防火墙对此也无能为力。因此,我们必须要能迅速地查杀出已经入侵的木马。木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件,现在很多杀毒软件能删除网络上最猖獗的木马。但是,由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1)检查主机开放的端口
木马进行通讯时大都会开启一个通讯端口,这个端口一般是用户不常见的。检查端口可以使用专门的端口扫描器,也可以在“命令行提示符”下使用“net stat –an”命令进行查看,如图1所示。除了服务器默认使用的端口外,其它的开放端口都要引起警觉。
因为在注册表中可以设置一些启动加载项目,所以很多木马程序都会利用注册表来启动自己。事实上,只要是Run\RunOnce\RunonceEx\RunServices\RunServicesOnce等都是木马程序加载的入口,如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once;HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once或Run Services或RunServicesOnce。检查这些键值下是否有可疑的文件名,如果有,先关闭其进程,再删除键值和相应的应用程序。 对于一些文本(.txt)文件关联木马(比如“冰河”)和应用程序(.exe)文件关联木马(比如“广外女生”),除了以上步骤外,还要将HKEY_Classes_ROOT\txtfile\shell\open\command中的键值改为“c:\windows\notepad.exe %1”以及将HKEY_Classes_ROOT\exefile\shell\open\command中的键值改为“”%1” %*”。
3)检查启动组
虽然木马隐藏在启动组并不是十分安全,但这里的确是自动加载运行的好场所,因此还是有木马在这里驻留。启动组对应的文件夹为“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”,要经常检查这个地方。
除了以上防范措施外,用户上网时应该避免访问一些非正规的网站或者下载文件;在收到带有附件的E-mail时,应该先对附件进行病毒扫描确保安全后再打开。
4 结束语
多年以来,木马与网络安全技术一直较量着,并且不断向前发展。未来的计算机木马将更注重底层的通讯编程,如针对网卡和Modem的通讯编程,这样可以有效地逃过安全检测,对网络安全形成新的威胁,我们对它的防范也将更加困难。
木马病毒是什么?怎样杀?
http://www.54pe.com/tags/%B2%A1%B6%BE/ (杀毒软件)
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
内核级木马是什么?
他是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。黑客经常会用这样的木马控制他人的电脑,比如最近出现的食猫鼠病毒就是这样的木马,当他被安装在一台远程计算机上后,黑客就拥有完全控制该机器的能力,并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。所以这段时间很多电脑中了这个病毒却不知道,不过我有看到腾讯电脑管家的用户没收到什么损失,它即使查杀了食猫鼠病毒。想要避免内核级木马最好的方法就是在正规的网站下载软件,总之多加小心总是对的。
木马病毒入侵电脑有哪些方式
写启动项、修改注册表、锁定IE主页、镜像劫持、互斥体、远程注入、远程线程注入、提升权限、inline
hook
函数入口代码
恢复函数入口代码
启动宿主进程
等等
木马病毒如何破坏文件?
木马(Trojan)这个名字来源于古希腊传说,它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。 防治木马的危害,应该采取以下措施: 第一,安装杀毒软件和个人防火墙,并及时升级。 第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。 第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。 第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。