黑客24小时在线接单网站

联系黑客,怎么找黑客,24小时在线黑客,黑客在线QQ,找黑客

森林木马病毒(森林病毒是什么症状)

本文目录一览:

木马大全,我想要有关木马病毒的各个名称?

1、系统病毒

系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。

3、木马病毒、黑客病毒

木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.qq3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。

4、脚本病毒

脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。

建议你使用腾讯电脑管家来进行病毒查杀

因为腾讯电脑管家是4+1杀毒引擎,管家反病毒引擎、金山云查杀引擎、小红伞本地查杀引擎和管家云引擎,新版本在此基础上启用了管家系统修复引擎,重点加强了“云安全”平台的建设和自研引擎的研发能力,也属国内首例采用“4+1”核“芯”杀毒引擎架构的。 所以杀毒能力是很强悍的,可以信赖!

世界上有多少种电脑病毒(包括木马在内)?

电脑病毒种类繁多,主要包括如下这些:

一 木马的种类:

1破坏型:惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件

2、密码发送型:可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。

3、远程访问型:最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。

4.键盘记录木马

这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。

5.DoS攻击木马:随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。

6.代理木马:黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹

7.FTP木马:这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。

8.程序杀手木马:上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用

9.反弹端口型木马:木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。

二:病毒类

1开机磁区病毒

2档案型病毒

3巨集病毒

4其他新种类的病毒

三:1计算机病毒名称

冲击波(WORM_MSBlast.A)

W97M_Etkill(宏病毒)

捣毁者(W97M_ TRASHER.D)

.......等等...........

2木马病毒

木马病毒的前缀是:Trojan

如Q尾巴:Trojan.QQPSW

网络游戏木马:Trojan.StartPage.FH等

3脚本病毒

脚本病毒的前缀是:Script

如:红色代码Script.Redlof

4系统病毒

系统病毒的前缀为:Win32、PE、Win95、W32、W95等

如以前有名的CIH病毒就属于系统病毒

5宏病毒

宏病毒的前缀是:Macro,第二前缀有Word、Word97、Excel、Excel97等

如以前著名的美丽莎病毒Macro.Melissa。

6蠕虫病毒

蠕虫病毒的前缀是:Worm

大家比较熟悉的这类病毒有冲击波、震荡波等

7捆绑机病毒

捆绑机病毒的前缀是:Binder

如系统杀手Binder.killsys

8后门病毒

后门病毒的前缀是:Backdoor

如爱情后门病毒Worm.Lovgate.a/b/c

9坏性程序病毒

破坏性程序病毒的前缀是:Harm

格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

10玩笑病毒

玩笑病毒的前缀是:Joke

如:女鬼(Joke.Girlghost)病毒。

常见木马名称:

Mbbmanager.exe → 聪明基因

_.exe → Tryit Mdm.exe → Doly 1.6-1.7

Aboutagirl.exe → 初恋情人 Microsoft.exe → 传奇密码使者

Absr.exe → Backdoor.Autoupder Mmc.exe → 尼姆达病毒

Aplica32.exe → 将死者病毒 Mprdll.exe → Bla

Avconsol.exe → 将死者病毒 Msabel32.exe → Cain and Abel

Avp.exe → 将死者病毒 Msblast.exe → 冲击波病毒

Avp32.exe → 将死者病毒 Mschv.exe → Control

Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma

Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰

Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver

Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson

Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup

Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5

Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta

Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵

Checkdll.exe → 网络公牛 Notpa.exe → Backdoor

Cmctl32.exe → Back Construction Odbc.exe → Telecommando

Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒

Diagcfg.exe → 广外女生 Pcx.exe → Xplorer

Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒

Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap

Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种

Esafe.exe → 将死者病毒 T → 尼姆达病毒

Expiorer.exe → Acid Battery Thing.exe → Thing

Feweb.exe → 将死者病毒 User.exe → Schwindler

Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒

Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒

Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒

Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒

Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT

Icsupp95.exe → 将死者病毒 Service.exe → Trinoo

Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu

Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire

Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner

Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX

Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码

Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林

Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat

Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河

Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒

Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door

Internet.exe → 网络神偷 Sysrunt.exe → Ripper

Kernel16.exe → Transmission Scount System.exe → s**tHeap

Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0

Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1

Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow

Libupdate.exe → BioNet Task_Bar.exe

近期高危病毒/木马:

病毒名称:熊猫烧香

病毒名称:U盘破坏者

最新病毒报告:

病毒名称:Win32.Mitglieder.DU

病毒别名:Email-Worm.Win32.Bagle.gi

发现日期:2007/2/11

病毒种类:特洛伊木马

病毒危害等级:★★★★★

病毒原理及基本特征:

Win32.Mitglieder.DU是一种特洛伊病毒,能够在被感染机器上打开一个后门,并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。

感染方式:

病毒的主体程序运行时,会复制到:

%System%\wintems.exe

Mitglieder.DU生成以下注册表,以确保每次系统启动时运行病毒:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

危害:

SOCKS Proxy

Mitglieder.DU在25552端口打开一个SOCKS 4/5代理。

病毒名称:“勒索者(Harm.Extortioner.a)”

病毒危害等级:★★★☆

依赖系统:WIN9X/NT/2000/XP。

病毒种类:恶意程序

病毒原理及基本特征:

该恶意程序采用E语言编写,运行后会将用户硬盘上除系统盘的各个分区的文件删除,将自身复制到根目录下,试图通过优盘、移动硬盘等移动存储设备传播,并会建立一个名为“警告”的文件。同时该病毒还会弹出内容为:“警告:发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs196****9@yahoo.com.cn购买相应的软件”的窗口,向用户进行勒索.

病毒名称:“情人节”(Vbs_Valentin.A)

病毒种类:脚本类病毒

发作日期:2月14日

危害程度:病毒主要通过电子邮件和mIRC(Internet 在线聊天系统)进行传播, 并在2月14日“情人节”这一天,将受感染的计算机系统中C盘下的文件进行重命名,在其原文件名后增加后缀名“.txt”,并用一串西班牙字符覆盖这些文件的内容,造成计算机系统无法正常使用

计算机病毒疫情监测周报

1

“威金”( Worm_Viking )

它主要通过网络共享进行传播,会感染计算机系统中所有文件后缀名为.EXE的可执行文件,导致可执行文件无法正常启动运行,这当中也包括计算机系统中防病毒软件,蠕虫变种会终止防病毒软件,进而导致其无法正常工作。其传播速度十分迅速,一旦进入局域网络,很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后,会修改系统注册表的自启动项,以使蠕虫随计算机系统启动而自动运行。

2 “网络天空”变种(Worm_Netsky.D)

该病毒通过邮件传播,使用UPX压缩。运行后,在%Win dows%目录下生成自身的拷贝,名称为Winlogon.exe。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。

3 “高波”(Worm_AgoBot)

该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe。添加注册表项,使得自身能够在系统启动时自动运行。

4 Worm_Mytob.X

该病毒是Worm_Mytob变种,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序。

以下是目前中国流行的病毒列表,特此列出,以供参考:

1 x97m_laroux_aj

2 x97m_triplicate_c

3 Xm_laroux_a

4 w97m_birthday

5 w97m_class_cn@mm

6 w97m_class_d

7 w97m_class_Q

8 w97m_coco

9 w97m_coldape_b

10 w97m_ethan_a

11 w97m_jim_c@mm

12 w97m_julykiller

13 w97m_julykiller_a

14 w97m_julykiller_d

15 w97m_lulung_b

16 w97m_maker_c

17 w97m_maker_d

18 w97m_malaysia

19 w97m_melissa_m@mm

20 w97m_mellisa_a@mm

21 w97m_newhope_a

22 w97m_opey_h

23 w97m_ozwer_f

24 w97m_pri_a

25 w97m_story_a

26 w97m_thus_a

27 w97m_triplicate_c

28 w97m_Turn_a

29 w97m_twno_a

30 w97m_zhao 60

31 w97m_zhaojianli

32 wm_cap_a

33 wm_concept_a

34 1989

35 Dieh4000

36 8888

37 level42

38 natas4744

39 onehalf3544

40 binghe12

41 Happy99

42 Longnian

43 LOVE-LETTER-FOR-YOU

44 Sub7

45 miniexplore蠕虫

46 explore蠕虫

47 fix2001

48 Freelink

49 Prettypark

50 Stages-a

51 Bo2k

52 Jskak

53 cih12

54 cih13

55 cih14

56 Funlove

57 YAI

58 kriz4029

59 marburg

60 caw1262

61 W32.Navadid(圣诞节)

62 VBS/VBSWG.j@MM(库尔尼科娃)

63 I-Worm.Badtrans

64 I-Worm.Magistr(马吉斯)

65 Happytime(欢乐时光)

66 Hybris

67 I-Worm.MTX

68 Blebla.B(罗密欧与朱丽叶)

69 Homepage

70 Sircam

71 CodeRedII(红色代码II)

*72 klez(求职信)

*73 Aliz

*74 I-Worm.Badtrans.b

qq病毒的典型QQ病毒

1、病毒名称:Trojan/QQMsg.Zigui

中 文 名:“QQ龟”

病毒类型:木马

影响平台:Win 9x/2000/XP/NT/Me/2003

“QQ龟”是一个木马程序,通过向QQ好友群发病毒程序文件进行传播。文件名极具欺骗性,甚至调侃脑白金广告 “今年过年不收礼,收礼只收白骨精(搞笑版广告)”,继而盗取用户机密信息,并将盗取的信息发送给黑客。 2、病毒名称:I-Worm/QQ.Porn

中 文 名:QQ爱虫

传播方式:网络

病毒类型:蠕虫

影响平台:Win 9x/2000/XP/NT/Me/2003

QQ爱虫是通过在线QQ发送病毒文件的网络蠕虫,该病毒会通过QQ发送名为“蔡依林短裙显诱惑[转帖][贴图]”等带毒文件,病毒文件名还会包含众多带有色情和挑逗性的文字。病毒运行后会从黑客网站下载另一病毒“结巴” (Backdoor/Jieba.2004),后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码。 小心误入爱情森林,恶意网页是帮凶。2002年8月23日下午,瑞星全球病毒监控中心首次截获了一个传染能力极强的恶性QQ病毒――“爱情森林”(Trojan.sckiss)。据瑞星公司的反病毒工程师介绍,此病毒会利用QQ软件,诱惑用户打开一恶意网页,而该网页会自动下载病毒并修改注册表产生破坏。

病毒类型:木马病毒

发作时间:随机

传播方式:邮件/网络/QQ诱骗

感染对象:网络

警惕程度:★★★★

病毒介绍:

此病毒是已知的第一个利用QQ进行传播并破坏的恶性木马病毒。它利用本机QQ,在用户不知道的情况下向用户的好友发送一句消息:“(网址不便展现)这个你去看看!很好看的”一旦登陆此网站,便会中毒。因为此网站的主页是一个恶意网页,它会自动下载“爱情森林”病毒并执行,从而对用户计算机造成破坏。

此病毒具有以下四大特色:

一、 利用邮件包装,形成自启动邮件。

病毒的原始文件是一个名为HACK.EXE的木马病毒,病毒作者为了能使病毒“初战告捷”,迅速占领用户计算机,利用了OUTLOOK的邮件漏洞,将原始病毒包装成一个可以预览执行的病毒邮件:s.eml,然后放入一个恶意网页中,等待下载。

二、 利用QQ工具,发送伪装信息。

如果用户不小心点击或预览了病毒邮件,病毒便可执行。病毒执行时会搜索用户的QQ程序,如果用户在线的话,病毒会伪装成用户,给用户的所有在线的好友发送一条用户无法查觉的隐藏信息,此信息的内容为:“(网址不便展现)这个你去看看!很好看的”如果用户的好友在收到了此信息后,因为好奇而点击了此链接,则会进入一个恶意网页。

三、 利用恶意网页帮凶,导致病毒泛滥。

该恶意网页用JS语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏,将用户的IE标题改为:“(网址不便展现)/爱情森林”,使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为:“(网址不便展现)”,此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来,无论用户启动计算机还是启动IE浏览器,都可以自动链接到恶意网页,感染病毒。

四、 侵占系统目录,继续“生生不息”。

“爱情森林”病毒通过QQ发送信息之后,便开始进行本机的感染。病毒首先改名为:“EXPLORER.EXE”,然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心,然后病毒修改注册表,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,一旦计算机重启,病毒便可自动运行,再次进行以上感染。

爱情森林II病毒

浪漫的“爱情森林”又升级了,所有的计算机用户都应该注意,不要被浪漫的病毒骗了。

病毒类型:木马病毒

发作时间:随机

传播方式:邮件/网络

感染对象:网络

警惕程度:★★★★

病毒介绍:

1.此病毒是爱情森林的变种,当第一代的病毒网址被封掉以后,病毒又想出了新招。

2.该病毒将自己复制多份到windows的系统目录,并修改多项注册表。

3.当用户点击任何一个.exe文件时,病毒会根据特定文件名动态生成一个对话框:“某某文件发现引导区病毒,请到dos下面用A盘!”一旦当用户点确定时,文件即被删除。

4.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站,使用户无法上网升级病毒库最新版本。

爱情森林C版病毒

“爱情森林”病毒又出C版,请用户及时准备,以防不测。

病毒类型:木马病毒

发作时间:随机

传播方式:网络

感染对象:网络

警惕程度:★★★★

病毒介绍:

爱情森林病毒的又一个新变种!此病毒运行时建立5个病毒复本:WIN386.SWP、WINUPDATE.EXE、INTERNETS.EXE、WINVER.EXE、HOSTS,并将系统的交换文件替换掉,而且还伪装成系统的更新文件躲在启动目录中。另外,病毒会将可执行的关联改成病毒体,这样用户运行其他程序时会直接运行病毒体,而且有些程序运行时还会被此病毒删除。

此病毒有如下特征:

1. 建立5个病毒副本,系统启动后病毒会自动运行: C:\WINDOWS\WIN386.SWP C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE C:\WINDOWS\SYSTEM32\INTERNETS.EXE C:\WINDOWS\WINUPDATE.EXE C:\WINDOWS\WINVER.EXE C:\WINDOWS\HOSTS 2. 将注册表中的HKCR\exefile\shell\open\command项的内容改为:C:\WINDOWS\winupdate.exe %1 %*,这样用户双击任何程序都会不启动程序而直接启动病毒。

3. 有时一些启动的应用程序还会被此病毒莫名其妙地删除。 于2002年10月18日出现的新型恶性QQ病毒“QQ伪装专家”(Trojan.QQcamoufleur)虽然已经被瑞星公司捕获,但鉴于这个病毒有出现新版本的可能,所以广大用户还是应该做好防毒准备。

病毒类型:木马病毒

发作时间:随机

传播方式:网络

感染对象:网络

警惕程度:★★★★

病毒介绍:

此病毒用高级语言编写并用aspack工具压缩。病毒会伪装成真正的QQ程序启动,并在桌面上建立一个名为:“QQ2000b”的快捷方式,而真正QQ的快捷方式是:“腾讯QQ”。病毒运行时会将用户的QQ号码与密码偷偷发送到指定邮箱。病毒有极强的网络传染能力,如果发现局域网中有共享目录,便将自身拷贝到共享目录下,诱使用户运行。病毒会通过邮件系统传播。建立标题为:“这是我的照片”,附件为:“photo.gif.exe”的病毒邮件。另外,病毒还会攻击打印机。一旦检测到打印机的存在,病毒便会不断地通过打印机大量打印病毒代码,损耗打印机,浪费纸张。

病毒一般会有如下特征:

1. 使打印机无故打印乱码。

2. 在桌面上建立一个名为:“QQ2000b”的快捷方式。

3. 启动后会将自己拷贝到系统目录下,并改名为 windll.exe,photo.gif.exe 和 notepads.exe。

4. 病毒会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加一个键值为:WinIme,内容为:C:\WINNT\SYSTEM32\windll.exe的自启项。

5. 病毒会修改注册表,将命令接口(HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改为病毒体,这样即使是自启动项被用户删除了,病毒也会照常运行。

6. 病毒会利用邮件进行传播,产生标题为:“这是我的照片”,附件为:“photo.gif.exe”的病毒邮件。 Worm.Gop.3(QQ窃手)是近日出现的一种新型的蠕虫病毒,它以攻破聊天工具OICQ密码为目标,同时也会恶意泄漏用户的重要信息。此病毒蔓延速度极快,据瑞星全球病毒监测网报告,这是一种传播力极强的病毒,国内也已经发现病毒信息,所以广大用户应紧急采取预防措施,避免遭受损失。

病毒名称:Worm.Gop.3

别名:QQ窃手

病毒类型:蠕虫

发作时间:随机

传播方式:网络/文件

感染对象:网络/文件

警惕程度:★★★

病毒介绍:

Worm.Gop.3(QQ窃手)病毒主要通过邮件形式传播,最具危害的是:它具有与尼姆达病毒类似的“预览信件即受感染”的能力,这样用户不用打开病毒邮件就已经遭受感染。它具有传染极快、结构复杂等特点,它所造成的危害主要就是泄漏用户ICQ(OICQ)密码,同时将用户在感染前处理的最后一个文件(近期文件,对用户来讲往往很重要)通过附件形式,通过邮件形式寄出,这样用户的很多隐私就有可能在不知不觉中泄露出去。

发作现象:

Worm.Gop.3(QQ窃手)自身捆绑了一个DLL文件,和一个随机的文档,当病毒运行后会在系统目录下释放出一个kernelsys32.exe,然后kernelsys32.exe将自动启动。(此病毒还会在临时目录下将自身带的WORD文件释放出来,并将此文件打开,借此来掩饰自己的行为。)

Kernelsys32.exe会释放出一个IMKERNEL32.SYS的文件,并将IMKERNEL32.SYS注入其他的进程空间内,该文件注入进程空间内后就开始窃取本地的QICP的帐号和密码。然后当QICQ启动时,它会判断当前的窗口标题如果是“QQ用户登录”或是“OICQ用户登录”就将窃取用户输入的密码,并将密码和帐号保存在系统目录下的drocerr.sys文件中,同时备份到系统目录下的drocerrbk.sys文件中。

病毒还会自动查找最近打开过的文件,如果文件是以下类型(bmp、rtf、doc、txt、gif、jpeg、jpg)并且小于80k,病毒就将此文件捆绑在自己后面,形成一个exe文件作为附件发送给别人。这样收信人会以为收到了一个无害的文件,一但在Outlook Express或者windows中预览了这个邮件,会立刻感染这个蠕虫。信件的主题为以下之一: 想念你的模样 想我的小宝贝了 快乐 给我永恒的爱人 我爱你 想念 我在等着你 吻你 你是我的女主角 爱,有时候真的不能去比较的 哎 Fw:姐姐的照片 记得收好我的照片呀! xue 您的朋友 张 给您寄来贺卡 信件的内容为各种情书。这对于佳节将至的广大用户来说,是很容易被蒙蔽的。

清除Worm.Gop.3(QQ窃手)病毒的方式是用杀毒软件将其全面杀除。

预防Worm.Gop.3(QQ窃手)的办法与多数蠕虫病毒的方法类似:就是不要打开上文提到的主题邮件,其次是警惕陌生邮件,为了避免受到病毒侵袭用户还应使用优秀的防火墙软件――如瑞星防火墙进行防堵预防,并尽快对杀毒软件进行升级。 病毒名称:Hack.QQ2000.Trick

病毒别名:QQ骗子

发作时间:随机

病毒类型:黑客程序

传播方式:网络

警惕程度:★★★★

病毒介绍:

此病毒模仿oicq软件,将用户填写的登录号码和密码发送到指定信箱,从而窃取用户个人信息。由于此程序的外表做得和真正的oicq软件的图标完全一致,所以对于用户造成了很大的迷惑,极易让人上当。

发作现象:

此病毒与真正的QQ有同样的图标,如果用户双击此病毒文件,病毒即运行,跳出一个信息框,让用户填写邮件地址,而真正的oicq程序是没有此信息框的,所以当出现此信息框的时候,则表明用户正在使用QQ骗子,而不是真正的QQ。与此同时QQ骗子还会在桌面生成一个快捷方式,此快捷方式也与真正的oicq软件的快捷方式相同。用户如果再双击QQ骗子生成的快捷方式的话,又会跳出一个与oicq软件相同的登陆界面,如果此时用户将自己的登录号码和密码填写上去,并按确定键的话,又会跳出一个信息框,显示登录失败,而实际上,与此同时,刚才用户所填写的信息已被发送到病毒制造者所指定的信箱中,从而用户的私人信息便被泄露出去了。 2003年10月以来网上出现一种叫做“QQ尾巴(Trojan.QQ3344)”的木马病毒。该病毒会偷偷藏在你的系统中,当 你在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息,如果有人信以为真点击该链接的话,将会感染上病毒,并且成为病毒的传播源。

一、该病毒的主要特征:

这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。

QQ收到信息如下: 1. HoHo~~ ***刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。 2. 呵呵,其实我觉得这个网站真的不错,你看看**** 3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你***********不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。 4.*** 帮忙看看这个网站打不打的开。 5. *** 看看啊。我最近照的照片~ 才扫描到网上的。看看我是不是变了样? 二、解决方法:

1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2.随时升级杀毒软件。

3.安装系统漏洞补丁

由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 警惕程度:★★★★

发作时间:随机

病毒类型:木马病毒

传播方式:QQ软件

感染对象:QQ用户

依赖系统: WIN9X//NT/2000/XP

病毒介绍:

该病毒运行后会偷偷藏在用户的系统中,并修改注册表进行自启动。发作时会寻找QQ窗口,每隔1分钟就给被感染用户的所有线上的QQ好友发送诸如“快去这看看,里面有蛮好好东西-- ”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒无情感染,然后成为毒源,继续传播。

病毒的发现与清除:

此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:

1. 病毒运行时会将自身复制到系统目录下,命名为:WebAuto.exe。

2. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径,在下一次启动计算机时,病毒就会自动运行。

3. 病毒会将用户系统中的IE默认首页改为:*********** ,使用户一上网就中招。

4. 病毒会寻找QQ的发送消息窗口,给用户所有好友随机发送以下消息: 1. 激情电影爽啊!给你也推荐一下,完全免费--; 2. 快去这看看,里面有蛮好好东西--; 3. 上次看了个网站不错,去看看吧--; 在这些消息之后还伴随着一个恶意网址诱骗用户点击。

用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了QQ 连发器(Trojan.WebAuto、Trojan.WebAuto.a)病毒。 病毒类型:木马病毒

传播途径:QQ软件/网络

依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍:

2004年2月27日,瑞星全球反病毒监测网率先截获一个传播非常迅速,破坏性很强的的恶性木马病毒,并命名为“美女杀手 (Trojan.Legend.Syspoet.b)”病毒,该病毒通过QQ发送虚假消息给在线好友,导致在线好友上当。病毒会将自己伪装成网址,当用户点击该网址时会出现一副美女照片,当照片被打开的时候用户的电脑则已经被病毒感染。

该病毒会利用微软浏览器的漏洞进行攻击,浏览器版本级别低于IE6.0 SP1的电脑染毒后,病毒会修改一些文件的关联,导致象OFFICE软件、任务管理器、注册表编辑器等程序无法使用,该病毒还会破坏资源管理器,只要用户打开目录的深度超过五级,病毒就自动关闭浏览器。该病毒会干掉含有“杀毒”字样的窗口,因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。另外该病毒会修改用户电脑的系统配置,导致用户重启系统时无法进入“我的电脑”。

病毒盗取《传奇》游戏的密码和其他信息,并通过十几个邮件服务器向外发送大量的病毒邮件,阻塞网络。据瑞星反病毒工程师介绍,没有被感染的用户可以通过个人防火墙来预防该病毒,当用户发现有Mshta.exe的程序访问外部网络时,应该立刻禁止,如果该程序访问网络成功,将会对用户电脑产生上述破坏。

病毒的特性、发现与清除:

1. 病毒用VB语言编写,采用UPX压缩。

2. 病毒一旦执行,病毒将自我复制到系统文件夹,并重命名为随机文件名的可执行文件。

3. 病毒将在注册表启动项下,创建随机注册表键值来使自己随Windows系统自启动。

4. 终止带有下列字眼的程序的执行:瑞星、金山毒霸、江民、专杀、毒、木马、防火墙、监控、注册表编辑器、任务管理器、进程列表、进程管理、Antivirus、Trojan、REGSNAP、REGSHOT、REGISTRY MONITOR、W32DASM。

5. 通过QQ发送虚假消息给在线好友,导致在线好友上当。

6.盗取游戏“传奇”的各种信息,将盗取的信息发送到可配置的指定邮箱。

用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“美女杀手(Trojan.Legend.Syspoet.b)”病毒。 该病毒采用VC++(SDK)编写,是一个通过QQ传播的病毒。

一、病毒评估

1.病毒中文名:QQ女友

2.病毒英文名:Worm.LovGate.v.QQ

3.病毒大小:53,248 字节

4.病毒类型:蠕虫病毒

5.病毒危险等级:★★★★

6.病毒传播途径:网络

7.病毒依赖系统:WINDOWS9X/NT/2000/XP

二、病毒的破坏

利用QQ发送诱惑信息,导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友,致使不明真相的用户上当。

三、病毒报告

1.复制自己到系统目录:

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注册表键值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE 3.病毒运行后将建立一个HTTP服务器,监听TCP端口20808

该功能将响应远程的下载请求,将本地的病毒文件复制到远程机器。

4.病毒搜索QQ聊天软件,向在线的好友发送诱惑信息,内容如下:

“你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。

留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。

像是探询,像是关切,像是问候。

这是你需要的东西:

下载地址1

http://*.*.*.*::20808//%DRIVE%c:\\filename.exe

下载地址2

http://*.*.*.*::20808//%DRIVE%c:\\filename.exe”

上面的内容头部也可能为下列之一: 其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀 远远地,我目送你的背影,你那用一束大红色绸带扎在脑后的黑发,宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。 你蹦蹦跳跳地走进来,一件红尼大衣,紧束着腰带,显得那么轻盈,那么矫健,简直就像天边飘来一朵红云。 你笑起来的样子最为动人,两片薄薄的嘴唇在笑,长长的眼睛在笑 春花秋月,是诗人们歌颂的情景,可是我对于它,却感到十分平凡。只有你嵌着梨涡的笑容,才是我眼中最美的偶象。 你其有点像天上的月亮,也像那闪烁的星星,可惜我不是诗人,否则,当写一万首诗来形容你的美丽。 你是一尊象牙雕刻的女神,大方、端庄、温柔、姻静,无一不使男人深深崇拜。 在风吹干你的散发时,我简直着魔了:在闪闪发光的披肩柔发中,在淡淡入鬓的蛾眉问,在碧水漓漓的眼睛里……你竟是如此美丽可人! 你是花丛中的蝴蝶,是百合花中的蓓蕾。无论什么衣服穿到你的身上,总是那么端庄、好看。 你那瓜子形的形(编者注:该字疑为病毒作者笔误),那么白净,弯弯的一双眉毛,那么修长;水汪汪的一对眼睛,那么明亮 其中*.*.*.*为本机地址,%filename%为下列之一: c:\setup.exe c:\hello.exe c:\flash c:\123456.exe c:\pass.exe c:\game.exe c:\my_photo.exe c:\update.exe c:\mp3.exe c:\666666.exe 这些都是病毒本身。

5.鉴于该病毒的特殊性,尤其是女性的使用QQ的用户,请看到上述信息时请不要上当。

四、病毒解决方案:

1.进行升级

瑞星公司将于2004年3月12日当天进行升级,升级后的软件版本号为16.17.20,该版本的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站

2.使用专杀工具

鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,

3.使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途径

4.打电话求救

如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话。

5.手动清除

⑴打开任务管理器查看是否存在进程名为: INTERNET.EXE或SVCH0ST.EXE,终止它

⑵打开注册表编辑器,删除如下键值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE ⑶将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除

注:%WINSYS%位Windows系统的安装目录,在win9x,winme,winxp下默认为:C:\WINDOWS\SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。

五、安全建议:

qq病毒

1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。

3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报,这样才能真正保障计算机的安全。

病毒和木马的种类以及防治

病毒,木马种类和名称大全

一 木马的种类:

1破坏型

惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件

2、密码发送型

可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。

3、远程访问型

最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。

4.键盘记录木马

这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。

5.DoS攻击木马

随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。

6.代理木马

黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹

7.FTP木马

这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。

8.程序杀手木马

上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用

9.反弹端口型木马

木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。

二:

1开机磁区病毒

2档案型病毒

3巨集病毒

4其他新种类的病毒

三:

1计算机病毒名称

冲击波(WORM_MSBlast.A)

W97M_Etkill(宏病毒)

捣毁者(W97M_ TRASHER.D)

.......等等...........

2木马病毒

木马病毒的前缀是:Trojan

如Q尾巴:Trojan.QQPSW

网络游戏木马:Trojan.StartPage.FH等

3脚本病毒

脚本病毒的前缀是:Script

如:红色代码Script.Redlof

4系统病毒

系统病毒的前缀为:Win32、PE、Win95、W32、W95等

如以前有名的CIH病毒就属于系统病毒

5宏病毒

宏病毒的前缀是:Macro,第二前缀有Word、Word97、Excel、Excel97等

如以前著名的美丽莎病毒Macro.Melissa。

6蠕虫病毒

蠕虫病毒的前缀是:Worm

大家比较熟悉的这类病毒有冲击波、震荡波等

7捆绑机病毒

捆绑机病毒的前缀是:Binder

如系统杀手Binder.killsys

8后门病毒

后门病毒的前缀是:Backdoor

如爱情后门病毒Worm.Lovgate.a/b/c

9坏性程序病毒

破坏性程序病毒的前缀是:Harm

格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

10玩笑病毒

玩笑病毒的前缀是:Joke

如:女鬼(Joke.Girlghost)病毒。

常见木马名称:

Mbbmanager.exe → 聪明基因

_.exe → Tryit Mdm.exe → Doly 1.6-1.7

Aboutagirl.exe → 初恋情人 Microsoft.exe → 传奇密码使者

Absr.exe → Backdoor.Autoupder Mmc.exe → 尼姆达病毒

Aplica32.exe → 将死者病毒 Mprdll.exe → Bla

Avconsol.exe → 将死者病毒 Msabel32.exe → Cain and Abel

Avp.exe → 将死者病毒 Msblast.exe → 冲击波病毒

Avp32.exe → 将死者病毒 Mschv.exe → Control

Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma

Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰

Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver

Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson

Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup

Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5

Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta

Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵

Checkdll.exe → 网络公牛 Notpa.exe → Backdoor

Cmctl32.exe → Back Construction Odbc.exe → Telecommando

Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒

Diagcfg.exe → 广外女生 Pcx.exe → Xplorer

Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒

Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap

Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种

Esafe.exe → 将死者病毒 T → 尼姆达病毒

Expiorer.exe → Acid Battery Thing.exe → Thing

Feweb.exe → 将死者病毒 User.exe → Schwindler

Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒

Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒

Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒

Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒

Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT

Icsupp95.exe → 将死者病毒 Service.exe → Trinoo

Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu

Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire

Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner

Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX

Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码

Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林

Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat

Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河

Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒

Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door

Internet.exe → 网络神偷 Sysrunt.exe → Ripper

Kernel16.exe → Transmission Scount System.exe → s**tHeap

Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0

Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1

Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow

Libupdate.exe → BioNet Task_Bar.exe

近期高危病毒/木马:

病毒名称:熊猫烧香

病毒名称:U盘破坏者

最新病毒报告:

病毒名称:Win32.Mitglieder.DU

病毒别名:Email-Worm.Win32.Bagle.gi

发现日期:2007/2/11

病毒种类:特洛伊木马

病毒危害等级:★★★★★

病毒原理及基本特征:

Win32.Mitglieder.DU是一种特洛伊病毒,能够在被感染机器上打开一个后门,并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。

感染方式:

病毒的主体程序运行时,会复制到:

%System%\wintems.exe

Mitglieder.DU生成以下注册表,以确保每次系统启动时运行病毒:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

危害:

SOCKS Proxy

Mitglieder.DU在25552端口打开一个SOCKS 4/5代理。

病毒名称:“勒索者(Harm.Extortioner.a)”

病毒危害等级:★★★☆

依赖系统:WIN9X/NT/2000/XP。

病毒种类:恶意程序

病毒原理及基本特征:

该恶意程序采用E语言编写,运行后会将用户硬盘上除系统盘的各个分区的文件删除,将自身复制到根目录下,试图通过优盘、移动硬盘等移动存储设备传播,并会建立一个名为“警告”的文件。同时该病毒还会弹出内容为:“警告:发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs196****9@yahoo.com.cn购买相应的软件”的窗口,向用户进行勒索.

病毒名称:“情人节”(Vbs_Valentin.A)

病毒种类:脚本类病毒

发作日期:2月14日

危害程度:病毒主要通过电子邮件和mIRC(Internet 在线聊天系统)进行传播, 并在2月14日“情人节”这一天,将受感染的计算机系统中C盘下的文件进行重命名,在其原文件名后增加后缀名“.txt”,并用一串西班牙字符覆盖这些文件的内容,造成计算机系统无法正常使用

计算机病毒疫情监测周报

1

“威金”( Worm_Viking )

它主要通过网络共享进行传播,会感染计算机系统中所有文件后缀名为.EXE的可执行文件,导致可执行文件无法正常启动运行,这当中也包括计算机系统中防病毒软件,蠕虫变种会终止防病毒软件,进而导致其无法正常工作。其传播速度十分迅速,一旦进入局域网络,很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后,会修改系统注册表的自启动项,以使蠕虫随计算机系统启动而自动运行。

2 “网络天空”变种(Worm_Netsky.D)

该病毒通过邮件传播,使用UPX压缩。运行后,在%Win dows%目录下生成自身的拷贝,名称为Winlogon.exe。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。

3 “高波”(Worm_AgoBot)

该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4.exe。添加注册表项,使得自身能够在系统启动时自动运行。

4 Worm_Mytob.X

该病毒是Worm_Mytob变种,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序。

以下是目前中国流行的病毒列表,特此列出,以供参考:

1 x97m_laroux_aj

2 x97m_triplicate_c

3 Xm_laroux_a

4 w97m_birthday

5 w97m_class_cn@mm

6 w97m_class_d

7 w97m_class_Q

8 w97m_coco

9 w97m_coldape_b

10 w97m_ethan_a

11 w97m_jim_c@mm

12 w97m_julykiller

13 w97m_julykiller_a

14 w97m_julykiller_d

15 w97m_lulung_b

16 w97m_maker_c

17 w97m_maker_d

18 w97m_malaysia

19 w97m_melissa_m@mm

20 w97m_mellisa_a@mm

21 w97m_newhope_a

22 w97m_opey_h

23 w97m_ozwer_f

24 w97m_pri_a

25 w97m_story_a

26 w97m_thus_a

27 w97m_triplicate_c

28 w97m_Turn_a

29 w97m_twno_a

30 w97m_zhao 60

31 w97m_zhaojianli

32 wm_cap_a

33 wm_concept_a

34 1989

35 Dieh4000

36 8888

37 level42

38 natas4744

39 onehalf3544

40 binghe12

41 Happy99

42 Longnian

43 LOVE-LETTER-FOR-YOU

44 Sub7

45 miniexplore蠕虫

46 explore蠕虫

47 fix2001

48 Freelink

49 Prettypark

50 Stages-a

51 Bo2k

52 Jskak

53 cih12

54 cih13

55 cih14

56 Funlove

57 YAI

58 kriz4029

59 marburg

60 caw1262

61 W32.Navadid(圣诞节)

62 VBS/VBSWG.j@MM(库尔尼科娃)

63 I-Worm.Badtrans

64 I-Worm.Magistr(马吉斯)

65 Happytime(欢乐时光)

66 Hybris

67 I-Worm.MTX

68 Blebla.B(罗密欧与朱丽叶)

69 Homepage

70 Sircam

71 CodeRedII(红色代码II)

*72 klez(求职信)

*73 Aliz

安装一个杀毒软件定期查杀会起到一定的防范作用的。

*74 I-Worm.Badtrans.b

常见的QQ病毒有哪些

一.“ QQ尾巴”病毒

病毒主要特征:

这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。

QQ收到信息如下:

1. HoHo~~ **.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。

2. 呵呵,其实我觉得这个网站真的不错,你看看***.com/

3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。

4. http//***.com 帮忙看看这个网站打不打的开。

清除方法:

1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2.安装系统漏洞补丁

由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

二. QQ“缘”病毒

病毒特征:

该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。

病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。

清除方法:

使用了下面的办法将其彻底删除。

找到下列文件:

C:\windows\system\noteped.exe

C:\windows\system\Taskmgr.exe

C:\Windows\noteped.exe

C:\Windwos\system32\noteped.exe

删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉

注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 删除

如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作:

1.在任务栏上点击鼠标右键,选择任务管理器

2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。

3.点击开始-运行,输入Regedit进入注册表

4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。

删除后重启计算机,《缘》QQ病毒宣布彻底删除。

另外提醒大家,尽快更新你的IE到IE6 SP1(立即下载) 这样可以减少很多的IE被改机会。

三、“QQ狩猎者”病毒

病毒特征:

1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网: "

2、当浏览带毒网站时,会利用IE漏洞,尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件 b.sys,如果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中,文件名为"b.exe",如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。

3、复制文件:

A、复制病毒体到 %SystemRoot% 文件夹中,文件名为"Rundll32.exe";

B、复制病毒体为 "C:\cmd.exe";

C、试图复制病毒体到共享目录中,名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项,以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联

A、修改.exe文件的关联,每当执行exe文件时,即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值:默认="C;\cmd.exe %1 *"

B、新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值:默认="""%1"" %*"

C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值:默认="""%1"" %*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中,系统文件"Rundll32.exe"就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以通过EXE关联被加载.

清除方法:

A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;

B、重新启动到安全模式下;

C、先将regedit.exe改名为regedit.com,再用资源管理器结束cmd.exe进程,然后运行regedit.com,将EXE关联修改为""%1" %*",再删除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。对于Win9x系统,还要删除%SystemRoot%\Rundll32.exe,再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件,文件大小为11184字节,如果有,将其删除。

D、清理注册表:

打开注册表,删除主键 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的键值为 "%1" %*

防范措施:

不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

四、“武汉男生”病毒

病毒特性:

此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。

该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。

(1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器;

(2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;

(3)每隔一段时间给QQ网友发送信息

(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:

“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。

(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。

(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。

清除病毒

1、删除病毒在系统目录下释放的病毒文件

2、删除病毒在注册表下生成的键值

3、运行杀毒软件,对病毒进行全面清除

五、“爱情森林”病毒

(一)病毒特征

该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:

1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。

2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)

3、该木马程序还会在站点下载文件update.exe,

并执行下载下来的程序,进行其它的破坏活动。

清除方法

(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

(二)变种一病毒特征

该病毒运行后会:

1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。

2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。

4、该木马会通过QQ程序向其它的QQ用户发送“,你快去看看”

的消息,诱导用户浏览含有恶意代码的网页。

5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。

清除方法

(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。

(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。

(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

(4)若根目录下存在文件setup.txt或mima.txt,将其删除。

(三)变种二病毒特征

该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。

木马程序被运行后会:

1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。

2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)

3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“去看看,很好看的”,

当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。

清除方法:

(1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

(四)变种三病毒特征

该病毒运行后会:

1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。

2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。

4、修改注册表,修改IE浏览器的默认页,开始页,起始页。

5、该木马会通过QQ程序向其它的QQ用户发送“,你快去看看”

的消息,诱导用户浏览含有恶意代码的网页。

6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。

清除方法:

(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。

(2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。

(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

(4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。

(五)变种四病毒特征

该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会:

1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。

2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)

3、该木马程序还会在站点下载文件update.exe,

并执行下载下来的程序,进行其它的破坏活动。

清除方法

(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值

六、“QQ女友”病毒

病毒特征:

利用QQ发送诱惑信息,导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友,致使不明真相的用户上当。

1.复制自己到系统目录:

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注册表键值病毒自启动的伎俩:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

3.病毒运行后将建立一个HTTP服务器,监听TCP端口20808

该功能将响应远程的下载请求,将本地的病毒文件复制到远程机器。

4.病毒搜索QQ聊天软件,向在线的好友发送诱惑信息,内容如下:

“你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。

留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。

像是探询,像是关切,像是问候……………………

这是你需要的东西:

下载地址1

http://*.*.*.*::20808//%DRIVE%c:\\filename.exe

下载地址2

http://*.*.*.*::20808//%DRIVE%c:\\filename.exe”

其中*.*.*.*为本机地址,%filename%为下列之一:

"c:\setup.exe"

"c:\hello.exe"

"c:\flash.com"

"c:\123456.exe"

"c:\pass.exe"

"c:\game.exe"

"c:\my_photo.exe"

"c:\update.exe"

"c:\mp3.exe"

"c:\666666.exe"

这些都是病毒本身。

5.鉴于该病毒的特殊性,尤其是女性的使用QQ的用户,请看到上述信息时请不要上当。

清除方法

(1)打开任务管理器查看是否存在进程名为: INTERNET.EXE或SVCH0ST.EXE,终止它

(2)打开注册表编辑器,删除如下键值如果存在的话:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

(3)将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除

注:%WINSYS%位Windows系统的安装目录,在win9x,winme,winxp下默认为:C:\WINDOWS\SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。

  • 评论列表:
  •  黑客技术
     发布于 2023-04-06 14:32:13  回复该评论
  • Systray.exe → DeepThroat 2.0-3.1 Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow Libupdate.exe →
  •  黑客技术
     发布于 2023-04-06 23:08:42  回复该评论
  • (OICQ)密码,同时将用户在感染前处理的最后一个文件(近期文件,对用户来讲往往很重要)通过附件形式,通过邮件形式寄出,这样用户的很多隐私就有可能在不知不觉中泄露出去。发作现象:Worm.Gop.3(QQ窃手)自身
  •  黑客技术
     发布于 2023-04-06 22:37:41  回复该评论
  • 个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。清除方法 (1)打开任务管理器,结
  •  黑客技术
     发布于 2023-04-06 13:45:55  回复该评论
  • Server.exe → Revenger, WinCrash, YAT Icsupp95.exe → 将死者病毒 Service.exe → Trinoo Iexplore.exe → 恶邮差病毒
  •  黑客技术
     发布于 2023-04-06 16:32:18  回复该评论
  • ,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。6.代理木马:黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.