什么是木马,它都有些什么特性,我该怎么识别它,
IT168
对于木马,我们大家基本都听说过,但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。下面我们就围绕这几点进行一些介绍。
一:通过病
毒名称识别木马
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:病毒前缀.病毒名.病毒后缀 。
木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写),一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
二:了解木马种植方式才能防止别人种植木马
目前常见的木马种植方式有以下几种:
1.网吧种植
这个似乎在以前很流行,先关闭网吧的放火墙,再安装木马客户端,立刻结帐下机,注意,重点是不要重起机器,因为现在网吧都有还原精灵,所以在不关机器的情况下,木马是不会给发现的。因此,在网吧上网,首先要重起机器,其次看看杀毒软件有没有打开。最后建议,不要在网吧打开有重要密码的东西,如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强,其次是还存在其他的病毒。
2.通讯软件传送
发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木马了。(此时,你打开的文件好象“没有任何反应”)“她”可能接着说说:“呀,发错了。再见。”防御:不要轻易接受别人传的东西,其次是打开前要用杀毒软件查毒。
3.恐怖的捆绑
捆绑软件现在很多,具体使用就是把木马客户端和一个其他文件捆绑在一起(拿JPG图象为例),你看到的文件可能是.jpg,图标也是正常(第2条直接传的木马客户端是个windows无法识别文件的图标,比较好认),特别是现在有些捆绑软件对捆绑过后的软件进行优化,杀毒软件很难识别其中是否包含木马程序。建议:不要打开陌生人传递的文件。特别是图象文件。
4.高深的编译
对木马客户程序进行编译。让木马更加难以识别。
5.微妙的网页嵌入
将木马安装在自己的主页里面,当你打开页面就自动下载运行。“你中奖了,请去www.**.com领取你的奖品”,黑客可能这么和你说。建议:陌生人提供的网页不要打开,不要去很奇怪名字的网站。及时升级杀毒软件。
对于木马,我们大家基本都听说过,但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。下面我们就围绕这几点进行一些介绍。
一:通过病毒名称识别木马
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:病毒前缀.病毒名.病毒后缀 。
木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写),一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
二:了解木马种植方式才能防止别人种植木马
目前常见的木马种植方式有以下几种:
1.网吧种植
这个似乎在以前很流行,先关闭网吧的放火墙,再安装木马客户端,立刻结帐下机,注意,重点是不要重起机器,因为现在网吧都有还原精灵,所以在不关机器的情况下,木马是不会给发现的。因此,在网吧上网,首先要重起机器,其次看看杀毒软件有没有打开。最后建议,不要在网吧打开有重要密码的东西,如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强,其次是还存在其他的病毒。
2.通讯软件传送
发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木马了。(此时,你打开的文件好象“没有任何反应”)“她”可能接着说说:“呀,发错了。再见。”防御:不要轻易接受别人传的东西,其次是打开前要用杀毒软件查毒。
3.恐怖的捆绑
捆绑软件现在很多,具体使用就是把木马客户端和一个其他文件捆绑在一起(拿JPG图象为例),你看到的文件可能是.jpg,图标也是正常(第2条直接传的木马客户端是个windows无法识别文件的图标,比较好认),特别是现在有些捆绑软件对捆绑过后的软件进行优化,杀毒软件很难识别其中是否包含木马程序。建议:不要打开陌生人传递的文件。特别是图象文件。
4.高深的编译
对木马客户程序进行编译。让木马更加难以识别。
5.微妙的网页嵌入
将木马安装在自己的主页里面,当你打开页面就自动下载运行。“你中奖了,请去www.**.com领取你的奖品”,黑客可能这么和你说。建议:陌生人提供的网页不要打开,不要去很奇怪名字的网站。及时升级杀毒软件。
三:电脑被种植了木马的症状
在使用计算机的过程中如果您发现以下现象,则很有可能是被种植了“木马”:
a. 计算机反应速度明显变慢
b. 硬盘在不停地读写
c.键盘、鼠标不受控制
d.一些窗口被无缘无故地关闭
e.莫名其妙地打开新窗口
f.网络传输指示灯一直在闪烁
g.没有运行大的程序而系统却越来越慢
h.系统资源占用很多
i运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)
j.在关闭某个程序时防火墙探测到有邮件发出
k.密码突然被改变,或者他人得知您的密码或私人信息
l.文件无故丢失,数据被无故删改
四:几种常见木马的清除方法
一旦我们的电脑被种植了木马,我们应选择一款针对木马的杀毒软件进行清除,同时,我们也可以手工清除木马程序。下面我们介绍几种常见木马的手工清除方法,通过手工清除木马的介绍,我们可以对木马有一个更好的了解。
1,洛伊木马TROJ_QAZ.A
1、单击“开始│运行” 键入:Regedit,按Enter键
2、找到注册键:
HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
3、在右边的窗口中,找出任何包含下列数据的注册键值: startIE=XXXXNotepad.exe
4、在右边的窗口中,选中该键值,按删除键后再选是,删除该值。 退出注册表修改。 单击 “开始│关闭系统”,选择“重启动”后单击“是”。
5、重命名Note.com为Notepad.exe。
2,冰河v1.1 v2.2
这是国产最好的木马 作者:Snokebin
1.清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
重新启动。
2.清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。
3,Trojan.QQ3344
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
2.随时升级杀毒软件。
3.安装系统漏洞补丁
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
iFrame漏洞补丁地址:
http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp
五:对木马绑定文件的剥离方法
当我们需要的一款文件被发现绑定了木马程序,而我们又需要这款原文件时,我们可以采取下面的方法进行文件剥离。
第一步:用UltraEdit的十六进制方式打开绑定程序,选中第二个MZ到第三个MZ之间的内容(即第二个文件),将该部分复制。然后新建一个文件,粘贴,保存为EXE文件。
第二步:选中第三个MZ至文件末尾之间的内容(即第三个文件),同样复制,新建文件后粘贴、保存为EXE文件。
第三步:现在你要通过检查两个文件的图标及大小来判断哪个文件是所需的正常程序。一般来说,所需程序文件与捆绑后的图标一致,且文件体积较大的那个文件就是我们所要的原文件。
六:总结
防范木马首先应在自己的电脑中安装一款合适的防杀病毒软件并及时升级,同时在日常工作中不要打开未知文件以及陌生人传来的文件,不要随便打开陌生网页,升级最新版本的操作系统。
木马病毒怎么制作,要那些工具,怎么样发布病毒或攻击电脑………
要看你用什么软件编译什么类型的病毒,有C语言E语言等等软件都可以写病毒,发布病毒方法多种多样,但是制作病毒并发布是违法行为。
木马病毒是怎么回事呀?厉害马?怎么得的
马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
木马病毒详细介绍!高手进!
您好,电脑病毒可以分为以下几类
1、按感染对象分为引导型、文件型、混合型、宏病毒,文件型病毒主要攻击的对象是.COM及、EXE等可执行文件;按其破坏性分良性病毒、恶性病毒!
2、 按照病毒程序入侵系统的途径,可将计算机病毒分为以下四种类型:
? 操作系统型:这种病毒最常见,危害性也最大。
? 外壳型:这种病毒主要隐藏在合法的主程序周围,且很容易编写,同时也容易检查和删除。
? 入侵型:这种病毒是将病毒程序的一部分插入到合法的主程序中,破坏原程序。这种病毒的编写比较困难。
? 源码型:这种病毒是在源程序被编译前,将病毒程序插入到高级语言编写的源程序中,经过编译后,成为可执行程序的合法部分。这种程序的编写难度较大,一旦插入,其破坏性极大。
希望帮助到您,电脑管家竭诚为您服务,您的支持是我们的动力,望采纳。
腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
木马病毒
以下几种类型的病毒为用户经常会遇到的病毒
◇引导型病毒
◇文件型病毒
◇蠕虫病毒
◇宏病毒
◇木马病毒
1.引导型病毒
引导型病毒是一种感染系统引导区的病毒。引导型病毒利用操作系统的引导模块物力位置固定的特点,抢占据该物理位置,获得系统控制权,而将真正的引导区内容转移或替换,待病毒程序执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。由于引导型病毒多使用汇编语言编写,所以执行速度很快,用户很难察觉。
传播方式
引导型病毒通常是通过移动存储介质来传播的,用户只要在相互拷贝文件的时候注意一下,就可以减少感染引导型病毒的机会。
感染对象
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中,典型的病毒有大麻(Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇(即0面0道第1个扇区),典型的病 毒有Brain、小球病毒等。
病毒典型代表——小球病毒
小球病毒是我国发现的第一个计算机病毒,通过使用带有小球病毒的软盘启动计算机,就可以把病毒传染给计算机,再使用该计算机读取没有病毒的软盘,就又会把病毒传染给软盘。小球病毒发作时在屏幕上显示一个小球,呈正弦曲线般跳动,干扰用户的正常使用,可以说算是病毒中比较温和的一个了。
2.文件型病毒
文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式:
当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
感染对象:
扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。
病毒典型代表——CIH
CIH病毒,别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,主要感染Windows95/98下的可执行文件,在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,危害最大的是v1.2版本,此版本只在每年的4月26日发作,又称为切尔诺贝利病毒(前苏联核事故纪念日)。
CIH病毒只在Windows 95/98环境下感染发作,当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的Flash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。
3.蠕虫病毒
蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
传播方式:
蠕虫病毒常见的传播方式有2种:
1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的将自己扩散出去。
2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个网络中,这也是是个人计算机被感染的主要途径。
感染对象:
蠕虫病毒一般不寄生在别的程序中,而多作为一个独立的程序存在,它感染的对象是全网络中所有的计算机,并且这种感染是主动进行的,所以总是让人防不胜防。在现今全球网络高度发达的情况下,一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。
病毒典型代表——震荡波
震荡波(Worm.Sasser)病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时,在本地开辟后门,监听TCP 5554端口,做为FTP服务器等待远程控制命令,黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时,病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
4.宏病毒
宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序,它通常寄存在文档或模板的宏中。宏病毒是一种跨平台的病毒,在Windows, OS/2, Macintosh System等操作系统中均可表现出病毒行为。宏病毒用Word Basic语言编写,Word Basic语言提供了许多系统级底层调用,如使用DOS系统命令, 调用Windows API,调用DDE或DLL等,这些操作均可对系统构成直接威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行,所以宏病毒的危害性极大。
传播方式:
用户一旦打开感染了宏病毒的文档,包含在其中的宏就会被执行,于是宏病毒就会被激活,转移到了计算机上,并将自身复制到文档或者Normal模板中,从此以后,所有被打开或者关闭的文档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
感染对象:
宏病毒是传染数据文件的病毒,仅向WORD,EXCEL和ACCESS编制的文档进行传染,不会传染可执行文件。但是由于Office软件在全球具有广泛的用户,所以宏病毒的传播仍然十分迅速和广泛。
病毒典型代表——新爱虫
新爱虫病毒的传播主要以Word文档为主,该病毒为周期性爆发,激活病毒的条件是计算机日期为“3、6、9、12”月份,并且日期为5号时,此时病毒会改写C盘下的重要系统文件autoexec.bat,把一条删除C盘数据的命令写进去,当用户重新启动计算机时,就会发觉C盘下的所有文件已被删除,受破坏的用户的损失将不可估量。
5.木马病毒
木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马,因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序,被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马,就如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件,做系统管理员才能做的工作(例如格式化磁盘),你的计算机上的所有文件、程序,以及在你使用到的所有帐号、密码都会被别人轻松的窃走。
传播方式:
木马程序通常通过伪装自己的方式进行传播,常见的伪装方式有:
伪装成小程序,通常会起一个很诱人的的名字,例如“FlashGet破解程序”,用户一旦运行这个程序,就中了木马
伪装成网页,网页的链接通常会起一个十分暧昧的名字,诱使用户去点击它,用户一旦点击了这个链接,就中了木马
把自己绑定在正常的程序上面,高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,一旦用户安装winzip程序,就会不知不觉地把木马种下去
伪装成邮件附件,邮件主题可能会是“好消息”,“你想赚钱吗?”等等,一旦你好奇的打开附件,木马就安置在了你的计算机中
感染对象:
木马程序感染的对象是整台计算机。
病毒典型代表——网银大盗
网银大盗(Trojan/PSW.HidWebmon)是 2004年4月18日被江民反病毒中心率先截获的木马病毒,该木马偷取XX银行个人网上银行的帐号和密码,发送给病毒作者,给成千上万用户的资金安全带来严重威胁;紧接着,又出现了网银大盗的变种病毒,窃取的网上银行帐号和密码的范围从1家直接扩展到数十家,是木马病毒中具有严重危害性的一个。
祝你好运 ^_^