本文目录一览:
- 1、病毒类型:“木马”和“蠕虫”名字是怎么来的?
- 2、高手帮忙啊,我同学的电脑中了木马病毒,怎么办
- 3、木马是什麽?详细症状?解决方法?
- 4、到底是什么时候开始有木马病毒的?
- 5、木马病毒什么时候开始流行
- 6、什么是木马病毒
病毒类型:“木马”和“蠕虫”名字是怎么来的?
木马
希腊人围攻特洛伊城,很多年不能得手后想出了木马的计策,他们把士兵藏匿于巨大的木马中。在敌人将其作为战利品拖入城内后,木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。
计算机世界中的特洛伊木马病毒的名字就是由此得来。特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的程序,其隐蔽性极好,不易察觉,是一种极为危险的网络攻击手段。
蠕虫
蠕虫病毒(Worm)源自第一种在网络上传播的病毒。1988年,22岁的康奈尔大学研究生罗伯特·莫里斯(Robert Morris)通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”(Worm)的病毒。蠕虫造成了6000个系统瘫痪,估计损失为200万到 6000万美元。由于这只蠕虫的诞生,在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经壮大到成千上万种,并且这千万种蠕虫病毒大都出自黑客之手。
高手帮忙啊,我同学的电脑中了木马病毒,怎么办
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏方法主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
木马是什麽?详细症状?解决方法?
目前国内木马病毒共分为五大类别,主要以网络为依托进行病毒传播,偷取用户隐私资料是其主要目的。这些木马病毒多具有引诱性与欺骗性,属于今年病毒新的危害趋势。
2004年中国地区危害最为严重的十种木马病毒数据来源于金山毒霸全球反病毒网络、和金山毒霸全国木马病毒情报站,以及毒霸运营部门和线上反病毒部门联合统计而来。统计时间从2003年12月份至2004年9月。
金山反病毒专家指出,随着家庭数字娱乐行业的迅速普及,宽带化小区、电信在数字通讯网络上建设力度进一步加大,人们的网络应用方向开始扩展;网络游戏、即时通讯聊天、宽带视频等进入寻常百姓家。与此同时,新型病毒开始通过各种网络渗透,呈现了新的传播方式和破坏方式。
电脑病毒频发的特征及原因
病毒分析数据显示,目前电脑病毒多以欺骗手段进行传播,比如MSN病毒,以“想看漂亮视频MM吗”等作为诱导,至使全国接近30万人中了MSN病毒。在十一国庆节前夕,图片病毒突然出现,也是打着美女、色情图片为旗号,造成了新一轮电脑安全隐患。
各种应用系统的漏洞也是造成病毒泛滥的主要原因之一。病毒通过个人电脑的操作系统漏洞进入用户计算机中。特别是今年危害严重的木马病毒,会随着电子邮件、即时通讯工具(MSN、QQ等)、网页浏览等方式感染用户电脑,而多数病毒都是利用了操作系统的漏洞。比如说,系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下来,而木马病毒又会欺骗用户伪装成“好人”,达到其偷取隐私信息的险恶目的。
从金山反病毒中心三个季度累计数据分析来看,网络蠕虫病毒占了9个月来病毒总数的平均28%以上,而木马病毒占了57%,其它混合型病毒占了15%。总的来看,木马病毒增长非常之快。值得注意的是,混合型病毒给用户制造出了大麻烦。金山毒霸反病毒专家对于各种邮件当中隐藏的木马病毒表示出强烈担忧,因为电子邮件很轻易就会把木马病毒传送到世界上任何一个地方。嵌入式网页木马病毒也成为一种快速的传播渠道,病毒制造者通过诱使用户点击网页链接传播病毒,往往体现在比如邮件、即时通讯消息栏内出现,“这里的美女真多”、“快来看看呀,她(他)已等你很久了…..”再加上一段链接地址。用户如果点击就很可能会中病毒。
相关数据显示,目前木马病毒数量增长非常快,反病毒专家表示现阶段的重点工作是防止木马病毒所造成的社会负面影响。因为,木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌。
根据木马病毒的特点与其危害范围,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。
一、网游木马病毒:2004年,大量针对网络游戏的木马病毒涌现,主要原因是网络游戏产业超高速发展,网上虚拟装备交易非常火爆!然而,一些别有用心的病毒者开始把目光盯在这一安全性比较薄弱的环节,用户如果中了针对网络游戏的木马病毒,它会盗取用户帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者卖出这些盗取的游戏装备而获利。如今,甚至有不怀好意者,干脆以制作木马为职业。
二、网银木马病毒:网银木马专门针对网络银行攻击,采用记录键盘和系统动作的方法盗取网银的帐号和密码,并发送到作者指定的邮件,直接导致用户的经济损失。目前通过网络银行的犯罪行为已经开始出现,今年某一大学生利用网络偷取到网络银行用户60多万人民币,还试图用钱贿赂办案警察,但是其最终受到了法律的严惩。
三、即时通讯木马病毒:可以利用即时通讯工具(比如:QQ、MSN)进行传播。中毒后,可能导致用户的经济损失。中了木马后电脑会下载病毒作者指的任意程序,其危害不可确定。会造成恶作剧,比如“MSN我要结婚”病毒,中毒者会向联系人发送“我今天要结婚”的恶作剧消息。
四、后门木马病毒: 在网络中被恶意者大量传播。病毒本身不具有传播的功能,都是被恶意者种植。该木马病毒采用反弹端口技术绕过防火墙,对被感染的系统进行远程文件和注册表的操作,可以捕获被控制的电脑的屏幕, 可远程重启和关闭计算机, 可以禁用系统热键和注册表编辑器,中了该木马后,被感染的系统将完全暴露于黑客手中。
五、广告木马病毒:此类木马采用各种技术隐藏于系统内,修改IE等网页浏览器的主页,禁多种系统功能,收集系统信息发送给传播广告木马的网站。更恶毒的是修改网页定向,导致一些正常的网站不能登录。最近闹的沸沸扬扬的MSN病毒就是这种木马病毒,它诱使点击一个可执行文件导致了937个网站不能正常访问。
该分析认为,这五大类木马病毒构成了木马的主要类别,其中,网游木马病毒占到木马病毒总数的32%以上,网银木马占到7%,即时通讯木马占了23%,广告木马占了24%,后门木马占了14%。从危害极别来看,网游木马危害最为严重,其次是广告木马也包含恶作剧程序,再次是即时通讯木马,接下来危害也比较大的是后门木马病毒,排在最后一位的是网银木马。
危害最为严重的木马病毒如下:
QQ 狩猎者(Troj.QQmsg)
网银大盗A(Troj.KeyLog.a)
MSN小尾巴(Worm.MSNFunny)(注:MSN小尾巴同时具有蠕虫和木马特点)
传奇男孩(Troj.MirBoy)
剑侠幽灵(Troj.JXGhost.a)
安哥(Hack.AgoBot)
灰鸽子(Hack.Huigezi
蜜峰大盗(Troj.Mifeng)
黑洞 (Hack.BlackHole、Hack.HeiDong)
记事本幽灵(Win32.Troj.Axela.w)
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。 保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名,必须把它删除。 正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。 保存退出win.ini。 OK
7. AttackFTP 清除木马的步骤: 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
,正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s" 关闭Regedit,重新启动到MSDOS系统中 删除C:\windows\system\
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe" 关闭Regedit,重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的'c:\windows\notpa.exe /o=yes' 关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe 注意:不要删除真正的notepad.exe笔记本程序 OK
10. BF Evolution v5.3.12 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" " 关闭Regedit,再次重新启动计算机。 将C:\windows\system\ .exe(空格exe文件) OK
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98
和WinNT上两个软件 客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑 NT被感染的系统完全一样。
清除木马的步骤: 首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1. exe -h
命令让木马程序可见,然后删除它。 抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide" 将此子键删除。
12. Bla v1.0 - 5.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Systemdoor
= "C:\WINDOWS\System\mprdll.exe" 关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。 并删除两个文件。 OK
13. BladeRunner 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 可以找到System-Tray
= "c:\something\something.exe" 右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。 重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. Bobo v1.0 - 2.0 清除木马v1.0 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe" 关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe OK 清除木马v2.0 打开注册表Regedit 点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ
3 100种木马的手工清除方法
Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。 重新启动计算机。OK
15. BrainSpy vBeta 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 右边有 ??? =
"C:\WINDOWS\system\BRAINSPY .exe" ???标签选是随意改变的。 关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe OK
16. Cain and Abel v1.50 - 1.51 这是一个口令木马 进入MS-DOS方式 查找到C:\windows\msabel32.exe
并删除它。OK
17. Canasson 清除木马的步骤: 打开WIN.INI文件 查找c:\msie5.exe,删除全部主键 保存win.ini 重新启动计算机
删除c:\msie5.exe木马文件 OK
18. Chupachbra 清除木马的步骤: 打开WIN.INI文件 [Windows]的下面有两个行 run=winprot.exe
load=winprot.exe 删除winprot.exe run= load= 保存Win.ini,再打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'System
Protect' = winprot.exe 重新启动Windows 查找到C:\windows\system\ winprot.exe,并删除。 OK
19. Coma v1.09 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'RunTime'
= C:\windows\msgsrv36.exe 重新启动Windows 查找到C:\windows\ msgsrv36.exe,并删除。 OK
20. Control 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的Load MSchv
Drv = C:\windows\system\MSchv.exe 保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。 OK
21. Dark Shadow 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe" 保存Regedit,重新启动Windows 查找到C:\windows\system\ winfunctions.exe,并删除。 OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 版本1.0
删除右边的项目'System32'=c:\windows\system32.exe 版本2.0-3.1 删除右边的项目'SystemTray' =
'Systray.exe' 保存Regedit,重新启动Windows 版本1.0删除c:\windows\system32.exe 版本2.0-3.1
删除c:\windows\system\systray.exe OK
23. Delta Source v0.5 - 0.7 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目:DS
admin tool = C:\TEMPSERVER.exe 保存Regedit,重新启动Windows 查找到C:\TEMPSERVER.exe,并删除它。 OK
24. Der Spaeher v3 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目:explore
= "c:\windows\system\dkbdll.exe " 保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。 OK --
25. Doly v1.1 - v1.7 (SE) 清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。 把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe c:\Program Files\Mdm.exe 重新启动Windows。 接着,打开win.ini文件
--------
4 100种木马的手工清除方法
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load= 保存win.ini文件。
最后,修改注册表Regedit 找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =
"C:\Program Files\MStesk.exe" 和
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =
"C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。 关闭保存Regedit。 还有打开C:\AUTOEXEC.BAT文件,删除 @echo
off copy c:\sys.lon c:\windows\StartMenu\Startup Items\ del c:\win.reg
关闭保存autoexec.bat。 OK
清除木马V1.6版本: 该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下: 1.打开控制面板——添加删除程序——删除memory
manager 3.0,这就是木马程序,但 是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容 删除: @echo off copy
c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件: del sys.lon del
windows\startm~1\programs\startup\mdm.exe del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录 删除。 清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除 @echo off copy c:\sys.lon
c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg 关闭保存autoexec.bat
然后打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目 点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目 关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序: c:\sys.lon c:\iecookie.exe c:\windows\start
menu\programs\startup\mdm.exe c:\program files\mdm.exe c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe 注意:kernal32是A OK
75. Revenger v1.0 - 1.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName ="C:\...\server.exe" 关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除 OK
76. Ripper 清除木马的步骤: 打开system.ini文件 将shell=explorer.exe sysrunt.exe 改为shell=
explorer.exe 关闭保存system.ini,重新启动Windows 在c:\windows查找相应的木马程序sysrunt.exe,并删除 OK
77. Satans Back Door v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot protection ="C:\windows\sysprot.exe" 关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe OK
78. Schwindler v1.82 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe = "C:\WINDOWS\User.exe" 关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe OK
79. Setup Trojan (Sshare) +Mod Small Share 这个共享隐藏C盘的木马 清除木马的步骤: 打开注册表Regedit
也可以用杀毒软件杀除
到底是什么时候开始有木马病毒的?
电脑病毒的起源
电脑病毒的概念其实源起相当早,在第一部商用电脑出现之前好几年时,电脑的先驱者冯?诺伊曼(John Von Neumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里,已经勾勒出病毒程序的蓝图。不过在当时,绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。
1975年,美国科普作家约翰?布鲁勒尔(John Brunner)写了一本名为《震荡波骑士》(Shock Wave Rider)的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。
1977年夏天,托马斯?捷?瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(The Adolescence of P-1)成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染的病毒,病毒最后控制了 7,000 台计算机,造成了一场灾难。 虚拟科幻小说世界中的东西,在几年后终于逐渐开始成为电脑使用者的噩梦。
而差不多在同一时间,美国著名的ATT贝尔实验室中,三个年轻人在工作之余,很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"(core war)的游戏,进一步将电脑病毒"感染性"的概念体现出来。
1983年11月3日,一位南加州大学的学生弗雷德?科恩(Fred Cohen)在UNIX系统下,写了一个会引起系统死机的程序,但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表,在当时引起了不小的震撼。科恩的程序,让电脑病毒具备破坏性的概念具体成形。
不过,这种具备感染与破坏性的程序被真正称之为"病毒",则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼(A.K.Dewdney)的专栏作家在讨论"磁芯大战"与苹果二型电脑(别怀疑,当时流行的正是苹果二型电脑,在那个时侯,我们熟悉的PC根本还不见踪影)时,开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序,终于有一个"病毒"的名字可以称呼了。
第一个真正的电脑病毒
到了1987年,第一个电脑病毒C-BRAIN终于诞生了(这似乎不是一件值得庆贺的事)。一般而言,业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)所写的,他们在当地经营一家贩卖个人电脑的商店,由于当地盗拷软件的风气非常盛行,因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。
这个病毒在当时并没有太大的杀伤力,但后来一些有心人士以C-BRAIN为蓝图,制作出一些变形的病毒。而其他新的病毒创作,也纷纷出笼,不仅有个人创作,甚至出现不少创作集团(如NuKE,Phalcon/Skism,VDV)。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间,各种病毒创作与反病毒程序,不断推陈出新,如同百家争鸣。
DOS时代的著名病毒
所谓"DOS时代的病毒",意思是说这是从DOS时代就有的老古董,诸位读者可别以为您现在已经进入Windows 95/98的年代,就不会感染DOS时期的病毒。其实由于Windows 95/98充其量不过是一套架构在DOS上的操作系统,因此即使是处在Windows 95/98之下,一不小心还是会惹火上身的!
耶路撒冷(Jerusalem)
这个古董级病毒其实有个更广为人知的别称,叫做"黑色星期五"。为什么会有这么有趣的别称?道理很简单:因为只要每逢十三号又是星期五的日子,这个病毒就会发作。而发作时将会终止所有使用者所执行的程序,症状相当凶狠。
米开朗基罗(Michelangelo)
米开朗基罗的名字,对于一些早一点的电脑使用者而言,真可说是大名鼎鼎,如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外,更重要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日(这也就是它为什么叫做"米开朗基罗"的原因)时,这个病毒就会以Format硬盘来为这位大师祝寿。于是乎,你辛苦建立的所有资料都毁于一旦,永无翻身之日。
猴子(Monkey)
Monkey据说是第一个"引导型"的病毒,只要你使用被Monkey感染过的系统软盘开机,病毒就会入侵到你的电脑中,然后伺机移走硬盘的分区表,让你一开机就会出现"Invalid drive specification"的信息。比起"文件型"病毒只有执行过受感染文件才会中毒的途径而言,Monkey的确是更为难缠了。
音乐虫病毒(Music Bug)
这个发作时会大声唱歌,甚至造成资料流失、无法开机的病毒,正是台湾土产的病毒。所以,当你听到电脑自动传来一阵阵音乐声时,别以为你的电脑比别人聪明,那很有可能是中毒了。
其实这种会唱歌的病毒也不少,有另一个著名的病毒(叫什么名字倒忘了)发作时还会高唱着"两只老虎"呢!
DOS时期的病毒,种类相当繁杂,而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的"双体引擎",可以把一种病毒创造出更多元化的面貌,让人防不胜防!而病毒发作的症状更是各式各样,有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。不过幸运的 是,这些DOS时期的古董级病毒,由于大部分的杀毒软件都可以轻易地扫除,所以杀伤力已经大不如前了。
Windows时期的来临
随着Windows 3.1在全球的风行,正式宣告了个人电脑操作环境进入Windows时代。紧接着,Windows 95/98的大为畅销,使得现在几乎所有个人电脑的操作环境都是在Windows状态下。而在Windows环境下最为知名的,大概就属"宏病毒"与"32位病毒"了。
宏病毒
随着各种Windows下套装软件的发展,许多软件开始提供所谓"宏"的功能,让使用者可以用"创造宏"的方式,将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能,在经过有心人士的设计之后,终于又使得"文件型"病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件,而宏病毒则会感染Word、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是,这种宏病毒是跨操作平台的。以Word的宏病毒为例,它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。
在这些宏病毒之中,最为有名的除了后面要讲的Melissa就是令人闻之色变的Taiwan NO.1B 。这个病毒的发作情形是:到了每月的十三号,只要您随便开启一份Word文件,屏幕上会出现一对话窗口,询问你一道庞杂的算数题。答错的话(这种复杂的算数大概只有超人可以很快算出来吧)就会连续开启二十个窗口,然后又出现另一道问题,如此重复下去,直到耗尽系统资源而死机为止。
虽然宏病毒有很高的传染力,但幸运的是它的破坏能力并不太强,而且解毒方式也较容易,甚至不需杀毒软件就可以自行手动解毒。
32位病毒
所谓"32位病毒",则是在Windows 95之后所产生的一种新型态文件型病毒,它虽然同样是感染exe执行文件,但是这种病毒专挑Windows的32位程序下手,其中最著名的就是去年大为流行的CIH病毒了。
CIH病毒的厉害之处,在于他可以把自己的本体拆散塞在被感染的文件中,因此受感染的文件大小不会有所变化,杀毒软件也不易察觉。而最后一个版本的CIH病毒,除了每个月26日发作,将你的硬盘Format掉之外,有时候还会破坏主板BIOS内的资料,让你根本无法开机!虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒,不过由于它的威力实在强大,大家还是小心为上。(CIH又可能在今年4月26发作,你不会有事吧?)
Internet的革命
有人说Internet的出现,引爆了新一波的信息革命。因为在因特网上,人与人的距离被缩短到极小的距离,而各式各样网站的建立以及搜寻引擎的运用,让每个人都很容易从网络上获得想要的信息。
Internet的盛行造就了信息的大量流通,但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说,网络不折不扣正好提供了一个绝佳的渠道。也因此,我们这些一般的使用者,虽然享受到因特网带来的方便,同时却也陷入另一个恐惧之中。
病毒散播的新捷径
由于因特网的便利,病毒的传染途径更为多元化。传统的病毒可能以磁盘或其他存储媒体的方式散布,而现在,你只要在电子邮件或ICQ中,夹带一个文件寄给朋友,就可能把病毒传染给他;甚至从网络上下载文件,都可能收到一个含有病毒的文件。
不过虽然网络使得病毒的散布更为容易,但其实这种病毒还是属于传统型的,只要不随便从一些籍籍无名的网站下载文件(因为有名的网站为了不砸了自己的招牌,提供下载的文件大都经过杀毒处理),安装杀毒软件,随时更新病毒码,下载后的文件不要急着执行,先进行查毒的步骤(因为受传统病毒感染的程序,只要不去执行就不会感染与发作),多半还是可以避免中毒的情形产生。
第二代病毒的崛起
前面所谈的各式各样的病毒,基本上都是属于传统型的病毒,也就是所谓"第一代病毒"。会有这样的称呼方式,主要是用来区分因为Internet蓬勃发展之后,最新出现的崭新病毒。这种新出现的病毒,由于本质上与传统病毒有很大的差异性,因此就有人将之称为"第二代病毒"。
第二代病毒与第一代病毒最大的差异,就是在于第二代病毒传染的途径是基于浏览器的,这种发展真是有点令人瞠目结舌!
原来,为了方便网页设计者在网页上能制造出更精彩的动画,让网页能更有空间感,几家大公司联手制订出Active X及Java的技术。而透过这些技术,甚至能够分辨你使用的软件版本,建议你应该下载哪些软件来更新版本,对于大部分的一般使用者来说,是颇为方便的工具。但若想要让这些网页的动画能够正常执行,浏览器会自动将这些Active X及Java applets的程序下载到硬盘中。在这个过程中,恶性程序的开发者也就利用同样的渠道,经由网络渗透到个人电脑之中了。这就是近来崛起的"第二代病毒",也就是所谓的"网络病毒"。
兵来将挡,水来土掩
目前常见的第二代病毒,其实破坏性都不大,例如在浏览器中不断开启窗口的"窗口炸弹",带着电子计时器发出"咚咚"声的"闹闹熊"等,只要把浏览器关闭后,对电脑并不会有任何影响。但随着科技的日新月异,也难保不会出现更新、破坏性更大的病毒。
只是,我们也不需要因为这种趋势而太过悲观,更不用因噎废食地拒绝使用电脑上网。整个电脑发展史上,病毒与杀毒软件的对抗一直不断的持续进行中,只要小心一点,还是可以愉快地畅游在因特网的世界里。
木马病毒什么时候开始流行
第一代木马 :伪装型病毒 这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。 第二代木马 :AIDS型木马 继PC-Write之后,1989年出现了AIDS木马。由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。 第三代木马:网络传播性木马 随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征: 第一,添加了“后门”功能。 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息,例如,财务报告、口令及信用卡号。此外,攻击者还可以利用后门控制系统,使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的,因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。 第二,添加了键盘记录功能。 从名称上就可以知道,该功能主要是记录用户所有的键盘内容然后形成键盘记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们有如下共同特点:基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后,计算机就完全在黑客控制的傀儡主机,黑客成了超级用户,用户的所有计算机操作不但没有任何秘密而言,而且黑客可以远程控制傀儡主机对别的主机发动攻击,这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。 虽然木马程序手段越来越隐蔽,但是苍蝇不叮无缝的蛋,只要加强个人安全防范意识,还是可以大大降低\“中招\”的几率。对此笔者有如下建议:安装个人防病毒软件、个人防火墙软件;及时安装系统补丁;对不明来历的电子邮件和插件不予理睬;经常去安全网站转一转,以便及时了解一些新木马的底细,做到知己知彼,百战不殆。
什么是木马病毒
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。