简单的木马程序代码_常见木马程序完整正式版

hacker|
326

木马程序都有哪些种类?

网络游戏木马

随着网络在线游戏的普及和升温,中国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

网银木马

网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。

网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。

如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用APIHook等技术干扰网银登录安全控件的运行。

随着中国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。

木马程序

木马病毒----谁知道?

所谓的木马程式 先从名字来看 木马 取自希腊神话 特洛伊木马屠城纪 是说敌人留一只木马 而你又傻傻的把他弄进城里 杀你全家

木马程式跟木马屠城很像 都是你自己把木马(病毒)迎进家门口的 但是木马程式的种类很多 最常用的就是一些腥煽色的东西 所以来路不明的东西不要下载 在来是 木马有分很多种 最基本的是测录你的纪录 最强的是远端遥控 木马应该不算病毒 他不太会造成你系统毁损 但是你的资料会不保 资源会被占用 等等后果 而且木马程式用一般的扫毒软体无法扫掉( 诺顿 趋势)而是要另外去查询方法 用手动的方法去扫掉 大概就是这样吧

PWSteal.Lemir.Gen 是对一类游戏盗密木马的统称,与一般的木马病毒不同的是这个名称并不代表著一个固定的木马,而是一类木马,并且这类木马的数目极其繁多,清除方法也各不相同。 以前我们曾经撰写过一篇《手工彻底清除 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马的方法》 的文章,用来介绍清除一个档案是 SysModule32.DLL、SysModule64.DLL 的 PWSteal.Lemir.Gen 木马,但由於许多朋友没有留意到文章前面的提示,以为 PWSteal.Lemir.Gen 指的都是同一个木马,使用这个方法应该是可以的,结果按照指示反覆操作也无法成功,非常失望。

一般的,当您遇到这种木马时可以先尝试用自己的防毒软体来清除它,但如果防毒软体在发现这种木马后却无法成功清除掉它,总是报告清除失败或隔离失败,那该怎麼办呢?

费尔托斯特安全是一款可以清除木马和病毒的软体,它可以清除大量的 PWSteal.Lemir.Gen 木马,如果您有它的正式版可以在升级到最新病毒码后尝试用它扫瞄清除,但这里需要特别提醒一下:由於这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那麼除此之外难道就没有其他办法了吗?有的,下方就介绍一个借助免费工具「费尔木马强力清除助手」来清除这种顽固性 PWSteal.Lemir.Gen 木马的方法:

使用这个方法前必须要先知道这个木马的档案名是什麼。防毒软体在发现木马后一般都会报告它的完整档案名,您需要先准确的记录下这个档案名。比如:如果防毒软体提示 C:\Windows\hello.dll 是 PWSteal.Lemir.Gen 木马,则记下 C:\Windows\hello.dll 这个名子。这里需要注意档案名一定要记准确,因为有许多木马会把自己的档案名故意伪装成和正常的档案名很接近,比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数位0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的档案清除掉,那就麻烦了;

暂停防毒软体的即时监控,防止在清除时被它阻止造成失败。比如如果当初是你的诺顿发现了这个木马,那麼请先暂停诺顿的即时监控或即时扫瞄;

下载费尔木马强力清除助手 ;

释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动「费尔木马强力清除助手」。在「档案名」中输入要清除的 PWSteal.Lemir.Gen 木马档案名。比如如果您在第1步中记下的档案名是 C:\Windows\hello.dll,那麼这时就输入它;

按「清除」。这时程式会询问你是否要举报此病毒到费尔安全实验室,建议点「是」表示同意。接著程式会继续提示是否确定要清除它,仍然选「是」;

之后,如果此木马被成功清除程式会提示成功;或者也可能提示此木马无法被立即删除需要重新启动电脑。无论是哪种情况请点选「确定」,这时如果您在前面同意了举报此木马那麼程式会自动创建并开启一个「病毒举报」的电子邮件,其中会包含这个木马的样本档案,如果您看到了这个邮件请把它直接传送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。

最后,如果程式前面提示了重新启动电脑后才能清除那麼请一定重新启动您的电脑,在电脑重新启动后这个木马应该就被清除掉了。

重要提示: 如果您按上面的方法操作之后,发现不久这个木马又出现了,并且还是同样的档案名,那麼您可以用上面的方法再重复执行一次,不过这次操作时请选择程式中的「抑制档案再次生成」选项, 这样清除后一般木马就很难再复活了。这个功能是最新版「费尔木马强力清除助手」中提供的,如果您的没有这个选项,请从上面的位址中重新下载一次。

注意:

「费尔木马强力清除助手」有很强的档案删除能力,清除后的档案将无法再还原,所以在清除前一定要确定档案名没有输入错误。

如果您按上面的方法操作后仍然不能成功清除掉木马,则可能是电脑中还存在著另外一个更主要的木马程式或备份,在它被清除后会自动从另外一处还原。这时您需要用防毒软体扫瞄出所有的这些木马,然后逐一或同时清除才行。

三、rootkit 的类型:

我们可将 rootkit 分为两大类

1.Application rootkit - 建立於应用层级

Application rootkit 是最常被拿来使用的 rootkit。攻击者以 rootkit 中的木马程式来替

换系统中正常的应用程式与系统档案。木马程式会提供后门给攻击者并隐藏其踪迹,攻击者做的

任何活动都不会储存在纪录档中。下面列举了一些攻击者可能取代的档案:

‧隐藏攻击者踪迹的程式 -

(1).ls, find, du - 木马程式可以隐藏攻击者档案、欺骗系统,让系统的档案及目录泄露讯息。

(2).ps, top, pidof - 这些程式都是程序监看程式,它们可以让攻击者在进行攻击的过程中,

隐藏攻击者本身的程序。

(3).netstat - netstat 是用来检查网路活动的连结与监听,如开放的通讯埠等等。木马程式

netstat 可以隐藏攻击者的网路活动,例如 ssh daemon 或其他服务。

(4).killall - 木马程式 killall 让管理者无法停止程序。

(5).ifconfig - 当监听软体正在执行时,木马程式 ifconfig 不会显示 PROMISC flag,这样

可以隐藏攻击者,不被监听软体察觉。

(6).crontab - 木马程式 crontab 可以隐藏攻击者的 crontab 进入情况。

(7).tcpd, syslogd - 木马程式 tcpd 与 "syslog" 不会纪录攻击者的行为。

‧后门程式 -

(1).chfn - 提升使用者的权限。执行 chfn,在输入新使用者名称时,只要输入 rootkit 密码

,就可以取得 root 的权限。

(2).chsh - 提升使用者的权限。执行 chsh,在输入新 shell 时,只要输入 rootkit 密码,

就可以取得 root 的权限。

(3).passwd - 提升使用者的权限。执行 passwd,在输入新密码时,只要输入 rootkit 密码,

就可以取得 root 的权限。

(4).login - 能够纪录任何使用者名称,包含 root 登入的密码。

(5).bd2 - 木马程式 rpcbind 允许攻击者在受害主机上执行任意程式码。

‧木马程式程式 -

(1).inetd - 木马程式 inetd 可以替攻击者打开远端登入的通讯埠,只要输入密码就可以取得

root 的权限。

(2).rshd - 替攻击者提供远端的 shell。(范例:rsh [hostname] - l [rootkit password])

(3).rsh - 透过 rsh 可以取得 root 的密码。(范例:rsh [hostname] - l [rootkit password])

(4).sshd -攻击者以特定帐号密码登入就能拥有 root shell 的权限。

‧监听程式 -

(1).linsniffer - linux 小型的监听程式。

(2).sniffchk - 这个程式可以检验与确认网路监听程式是否正在执行。

(3).le - Solaris Ethernet 封包的监听程式。

(4).snif - linux 其他封包的监听程式。

(5).sniff-10mb - 这是一个设计来监听 10mbps Ethernet 的监听程式。

(6).sniff-100mb - 这是一个设计来监听 100mbps Ethernet 的监听程式。

‧其他种类 -

(1).fix - 安装木马程式时 (例如:ls) 更改的时间戳记与检验封包值的讯息。

(2).wted - wtmp 的编辑程式。可让攻击者修改 wtmp。

(3).z2 - 移除 wtmp/utmp/lastlog。

(4).bindshell - 把 rootshell 与某个通讯埠结合在一起。(预设埠号为 31337)

(5).zap3 - 攻击者会从 wtmp, utmp, lastlog, wtmpx 和 utmpx 移除他们的踪迹。zap3 通常

根据下列目录来找寻纪录档的位置,例如 /var/log, /var/adm, /usr/adm, 与 /var/run。

如何杀病毒Win32.Troj.ShowAD.I.151552

手工彻底清除 Win32.Troj 木马的方法

费尔托斯特安全可以完全清除掉此病毒(托斯特显示病毒名为“Backdoor.PWStealer”),如果手上有它的正式版可以使用它扫描并删除。如果当前没有也可以用下面的方法手工清除它(注意以下方法测试于Windows2000/XP/2003/NT,9x/me下可能有些略有不同,这时您可以使用费尔托斯特安全清除):

一、请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步):

打开“我的电脑”;

依次打开菜单“工具/文件夹选项”;

然后在弹出的“文件夹选项”对话框中切换到“查看”页;

去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;

在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;

去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;

最后点击“确定”。

二、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,进入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键下,在右边列中,找到一个名为“;Rundll”的值,如果找到请双击打开看,查看并记下“数值数据”中指示的文件及路径名,一般为“C:\WINNT\System32\XXXX.exe”的形式(但并不固定,这要根据具体的环境而变化),注意其中的“XXXX.exe”代表的是任意值,并不固定,而不是4个X,所以这时一定要记清这个“XXXX.exe”所代表的文件名,记下后然后从注册表中删除这个“;Rundll”值;

三、按“Ctrl+Alt+Del”键弹出任务管理器,找到在上面第二步中记下的“XXXX.exe”的进程(注意这里的XXXX.exe是具体的名称而不是4个X)。找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程;

四、打开资源管理器进入到 “系统目录\Winnt\System32”下(如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32)。找到XXXX.exe和XXXX.dll文件然后直接删除它们(当然,这里的XXXX所代表的仍然不是4个X,而是具体的名称);如果在删除过程中发现XXXX.dll删除不掉,而是报告“文件正在使用中无法删除”,则可以注销或重启一下电脑,然后再按此方法找到并删除它就可以了。

至此,如果一切顺利您就应该可以清除掉此木马了。

什么是木马程序?

木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。

它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。

随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。

木马的种类

[编辑本段]

1. 网络游戏木马

随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

2. 网银木马

网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。

网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。

随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。

3. 即时通讯软件木马

现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:

一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。

二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。

三、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。

4. 网页点击类木马

网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。

5. 下载类木马

这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。

6. 代理类木马

用户感染代理类木马后,会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。

首先找到感染文件,其手动方法是结束相关进程然后删除文件,但是现在有很多木马专杀的软件.可以借助软件删除。

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

如何防御木马病毒?

[编辑本段]

木马查杀(查杀软件很多,有些病毒软件都能杀木马)

防火墙(分硬件和软件)家里面的就用软件好了

如果是公司或其他地方就硬件和软件一起用

基本能防御大部分木马,但是现在的软件都不是万能的,是不?还要学点专业知识,有了这些,你的电脑就安全多了

现在高手也很多,只要你不随便访问来历不明的网站,使用来历不明的软件(很多盗版或破解软件都带木马,这个看你自己经验去区分),如果你都做到了,木马,病毒。就不容易进入你的电脑了。

如何删除木马病毒 ?

[编辑本段]

可以下载卡巴斯基(建议先卸载其他杀毒软件)绿鹰PC万能精灵

也可以下载瑞星杀毒软件(建议先卸载其他杀毒软件)

卡巴斯基搜索下就可以找到下载,其授权key到这里下载:

绿鹰PC万能精灵

瑞星杀毒2008

他的sn: Ew7S5NLyptbybbpt

1、禁用系统还原(Windows Me/XP)

如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。

注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。

2、将计算机重启到安全模式或者 VGA 模式

关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式

Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。

Windows NT 4 用户:将计算机重启到 VGA 模式。

扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:

启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。

3、关于病毒的危害,Download.Trojan会 执行以下作:

进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。

完成下载后,特洛伊木马程序将执行它们。

中了木马不能打开杀毒软件可以用360安全卫士安全启动来先修复一下

我中了以下几种木马,请问如何驱除?

查杀121款恶意软件,附赠正版卡巴斯基软件,有兴趣的可以试试:

360安全卫士产品特点:

[查杀121款恶意软件]彻底摆脱乱弹广告、机器狂慢的困扰

[卸载170款插件程序]仅保留需要的插件,大幅度提高系统运行效率

[13000条进程知识解释]帮您准确全面的分析电脑安全状况

[清理30项使用痕迹]清理使用电脑时留下的痕迹,让您踏网无痕来去无踪

[查杀20万种病毒]new!内含卡巴斯基反病毒软件v6.0正式版

如何识别木马

识别木马有新招,希望这篇文章对你有所帮助。

一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道,不管是传奇还是任何一款程序。它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。

下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,

简单防治的方法:

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。

下边介绍一下木马和如何简单的检查一下是否中了木马。

木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到网络的电脑后,就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。

木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程序的方法木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:

msconfig回车 就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe,点开始-运行,输入:regedit回车,打开注册表编辑器,点第一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境下再进行查杀。

防木马程序、防火墙、及杀毒软件介绍:

1、木马克星: 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!

2、绿鹰PC万能精灵2.91 :专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!

3、Symantec AntiVirus:这个我就不用再介绍了吧,全球最大的杀毒软件!强力推荐8.1企业版。

4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想,采用最底层的网络驱动隔绝,其作用层在网络硬件与Windows网络驱动之间,在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截,保护脆弱的Windows网络驱动不会崩溃 。

0条大神的评论

发表评论