来源:蜘蛛抓取(WebSpider)
时间:2017-04-16 22:26
标签:
网页木马扫描工具
360木马云查杀 绿色提取版_从360安全卫士中剥离的-软件下载页_JZ5U绿色下载站
您当前的位置: →
常用工具栏
360木马云查杀 绿色提取版_从360安全卫士中剥离的
====== [下面软件真实下载地址列表] ====== [版权原因部分软件停止下载] ======
从360安全卫士中剥离的!很好用
本站提供360木马云查杀 绿色提取版_从360安全卫士中剥离的软件免费下载,版权归原作者或公司所有。如有侵权,请与我们联系删除。
* 本站提供的软件我们都会尽可能测试再上传,都亲自运行过,同时通过卡巴斯基杀毒软件的验证,限于能力及系统等问题,无法保证所有软件都没有任何问题,如果您发现链接错误或其它问题,发email到zarong◎告诉我们,谢谢!
* 为了达到最快的下载速度,推荐使用或下载本站软件。为确保正常使用请用最新版来解压本站提供的软件!
* 为了网站可以继续发展下去,在不太影响大家的情况下还请给予点击站内广告。本站所有下载无需点击任何广告即可正常下载,由于部分是FTP下载,限制了同时连接数,因此还请使用下载工具尝试多一会连接时间。如果您发现下载链接错误,请点击谢谢!
* 站内提供的所有软件如包含破解及注册码均是由网上搜集,若无意中侵犯到您的版权利益,通知我们,我们会在收到信息一周内给予配合处理!
* 本站为非营利性站点,所有资源均是网上搜集或私下交流学习之用,任何涉及商业盈利目的均不得使用,否则产生的一切后果将由您自己承担!本站仅仅提供一个观摩学习的环境,将不对任何资源负法律责任。所有资源请在下载后24小时内删除。如果您觉得满意,请购买正版,唯有如此才能更好支持你所喜欢的软件更好发展!本站严厉谴责和鄙夷一切利用本站资源进行牟利的盗版行为!我的图书馆
&木马病毒 &&&&&&&& 木马(计算机恶意程序)一般指木马病毒&&&&&&&&&&本词条由审核。
&&&&&&&& 木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊,也就是木马计的故事)。“木马”是目前比较流行的文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
外文名&& Trojan
目&& &的&& 毁坏、窃取被种者的文件
&&&&&&“”与中常常要用到的有些相似,但由于远程控制软件是“善意”的,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的(木马)来另一台。通常有
两个可执行:一个是,即端;另一个是,即被控制端。植入被种者电脑的是“”部分,而所谓的“”正是利用“器”进入运行了“服务器”的电脑。运行了的“”以后,被种者的电脑就会有一个或几个被打开,使可以利用这些打开的端口进入,安全和个人也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。的服务一旦运行并被端连接,其控制端将享有的大部分操作权限,例如给增加,浏览、移动、复制、,修改,更改计算机配置等。
木马病毒入侵电脑&&&&&& 随着编写技术的,对用户的威胁越来越大,尤其是一些木马采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
&&&&&&& 一个的套装含了两部分:(部分)和(器部分)。植入对方电脑的是,而正是利用进入运行了服务端的电脑。运行了的以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开,向指定地点发送数据(如游戏的密码,密码和用户上网密码等),甚至可以利用这些打开的端口进入。
程序不能自动操作, 一个程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。特洛伊木马和不一样,后门指隐藏在中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
有两种,的和transitive的,就是可以的,而transitive是不能控制,刻死的。
&&&&&&& 不经电脑用户准许就可获得电脑的使用权。十分轻小,运行时不会浪费太多资源,因此没有使用是难以发觉的,运行时很难阻止它的行动,运行后,立刻自动登录在系统,之后每次在Windows加载时自动运行,或立刻自动变更,甚至隐形,或马上自动复制到其他中,运行连用户本身都无法运行的动作。
&&&&&&& 可以说非常迅速。主要是有些出于好奇,或是急于显示自己实力,不断改进的编写。至今已经经历了六代的改进:
&&&&& && 第一代,是最原始的。主要是简单的密码窃取,通过发送信息等,具备了最基本的功能。
&&&&& && 第二代,在技术上有了很大的,冰河是的典型代表之一。
&&&&&&&& 第三代,主要改进在数据传递技术方面,出现了等类型的,利用畸形报文传递数据,增加了查杀识别的难度。
&&&&&&&& 第四代, 在进程隐藏方面有了很大改动,采用了插入式的嵌入方式,利用远程插入技术,嵌入DLL线程。或者挂接PSAPI,实现的隐藏,甚至在/2000下,都达到了良好的隐藏效果。灰鸽子和是比较出名的。
&&&&&&&& 第五代,。多数都使用了大量的技术来达到在深度隐藏的效果,并深入到的,感染后针对和进行攻击,可将系统初始化,导致杀毒防火墙失去效应。有的可驻留BIOS,并且很难查杀。
&&&&&&&& 第六代,随着UsbKey和的兴起,类型和特殊反显技术类型逐渐开始系统化。前者主要以盗取和篡改用户为主,后者以动态和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类的代表。
&&&&&&&& 随着在线游戏的普及和升温,拥有规模庞大的网游玩家。游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的也随之泛滥起来。
游戏通常采用记录用户键盘输入、游戏进程API函数等方法获取
用户的密码和。窃取到的信息一般通过发送或向远程提交的方式发送给作者。
网络游戏的种类和数量,在国产木马中都首屈一指。流行的游戏无一不受网游的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的被制作出来。大量的和网站的公开销售也是网游木马泛滥的原因之一。
&&&&&&&&&网银是针对网上交易系统编写的木马,其目的是盗取用户的卡号、密码,甚至安全证书。此类种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
&&&&&&&& 网银通常针对性较强,木马作者可能首先对某的网上交易系统进行仔细分析,然后针对安全薄弱环节编写。2013年,安全软件截获网银木马最新变种“弼马温”,能够毫无痕迹的修改支付界面,使用户根本无法察觉。通过不良网站提供假下载地址进行广泛传播,当用户下载这一挂马播放器文件安装后就会中木马,该病毒运行后即开始监视用户网络交易,屏蔽余额支付和快捷支付,强制用户使用,并借机篡改订单,盗取财产。
&&&&&&&& 随着网上交易的普及,受到外来网银威胁的用户也在不断增加。木马病毒
&&&&&&&&& 这种的体积一般很小,其功能是从上下载其他程序或安装。由于体积很小,下载类更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类,如“”、“黑洞”等,传播时都单独编写一个小巧的下载型,用户中毒后会把后门主下载到本机运行。
&&&&&&&& 用户感染代理类后,会在本机开启、等代理服务功能。把受感染作为,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
&&&&&&&& 型木马打开被控制的21号(FTP所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
&&&&&&&&& 国内百花齐放。、新浪UC、、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类一般有3种:
&&&&&&&& a、发送消息型
&&&&&&& 通过即时通讯自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送消息。此类常用技术是搜索聊天窗口,进而该窗口自动发送内容。发送消息型常常充当网游木马的,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。
&&&&& && b、盗号型
&&&&&&&& 主要目标在于即时通讯的登录帐号和密码。工作原理和网游类似。作者盗得他人帐号后,可能偷窥聊天记录等内容,在各种通讯软件内向好友发送不良信息、广告推销等语句,或将帐号卖掉赚取利润。
&&&&&&& &c、传播自身型
&&&&&&& 2005年初,“MSN性感鸡”等通过MSN传播的泛滥了一阵之后,MSN推出新版本,禁止用户传送。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产通过QQ聊天发送自身进行传播,感染极大,在公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
&&&&&&&& 点击类会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。作者的编写目的一般是为了赚取高额的广告推广费用。此类的技术简单,一般只是向发送HTTP GET请求。
&&&&&&&& 首先找到感染文件,其手动方法是结束相关进程然后删除文件。但是目前互联网上出现了各种杀毒软件及专杀,我们可以借助这些安全工具进行查杀。
&&&&&&&& 和都是一种人为的,都属于,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于别处,游戏帐号,股票帐号,甚至网上银行帐户等等.达到偷窥别人和得到为目的.所以的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。
&&&&&&&& 一般来说一种,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。并且,在互联网上公开的病毒,一般杀毒厂商都会更新病毒库,便以查杀。
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,很多里的木马专杀程序只对木马进行查杀,不去检查普通的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
如何查出:
&&&&&&&&& 在使用常见的查杀及杀软件的同时,系统自带的一些基本也可以发现木马:
&&&&&&&&&& 一、检测网络连接
如果你怀疑自己的上被别人安装了,或者是中了,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地建立连接的IP,它包含四个部分——proto(连接方式)、local address(地址)、foreign address(和本地建立连接的地址)、state(当前状态)。通过这个命令的详细信息,我们就可以完全监控上的连接,从而达到计算机的目的。
&&&&&&&&& 二、禁用不明服务
&&&&&&&&& 很多朋友在某天系统重新启动后会发现速度变慢了,不管怎么优化都慢,用也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
&&&&&&&&& 方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
&&&&&&&&& 三、轻松检查账户
&&&&&&&&& 很长一段时间,恶意的攻击者非常喜欢使用账号的方法来你的。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到权限,从表面上看来这个账户还是和原来一样,但是这个的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
&&&&&&&&& 首先在命令行下输入net user,查看上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!
联网状态下的。对于没有联网的,当其联网之后也会在第一时间内收到更新信息将库更新到最新版本。不仅省去了用户去的烦琐过程,也使用户的时刻处于最佳的保护环境之下。
&&&&&&& 四、对比系统服务项
&&&&&&& 1、点击“开始,运行”输入“"回车,打开”实用,然后 在“服务”选项卡中勾选“隐藏所有Microsoft服务”,这时列表中显示的服务项都是非系统程序。
&&&&&&& 2、再点击“开始,运行”,输入"回车,打开“管理”,对比两张表,在该“服务列表”中可以逐一找出刚才显示的非系统服务项。
&&&&&&&& 3、在“系统服务”管理界面中,找到那些服务后,双击打开,在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置,一般正常安装的,比如杀毒,MSN,,等,都会建立自己的系统服务,不在系统目录下,如果有第三方服务指向的路径是在系统目录下,那么他就是“”。选中它,选择表中的“禁止”,重新启动即可。
&&&&&&&& 4、要点:有一个表的左侧:有被选中的服务说明,如果没用,它就是。
&&&&&&&& 1、盗取我们的网游账号,威胁我们的虚拟财产的安全
&&&&&&&& 会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由病毒使用者出售这些盗取的游戏装备和游戏币而获利。
&&&&&&&& 2、盗取我们的网银信息,威胁我们的真实财产的安全
&&&&& & 采用键盘记录等方式盗取我们的网银帐号和密码,并发送给,直接导致我们的经济损失。
&&&&&&&& 3、利用即时通讯盗取我们的身份,传播病毒等不良信息
中了此类木马后,可能导致我们的经济损失。在中了后电脑会下载作者指定的任意程序,具有不确定的危害性。如恶作剧等。
&&&&&&&& 4、给我们的电脑打开后门,使我们的电脑可能被
如等。当我们中了此类后,我们的电脑就可能沦为,成为手中的工具。
&&&&& && 查杀(查杀很多,有些软件都能杀木马)
&&&&&&&&& (分和)家里面的就用软件好了,如果是公司或其他地方就硬件和软件一起用。
&&&&&&&& 基本能防御大部分,但是的都不是万能的,还要学点专业知识,有了这些,你的电脑就安全多了。高手也很多,只要你不随便访问来历不明的网站,使用来历不明的(很多盗版或都带,这个看你自己经验去区分),还要及时更新系统漏洞,如果你都做到了,木马,。就不容易进入你的电脑了。
&&&&&&& 1、禁用系统还原
&&&&&&&& 如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦中的文件被破坏,Windows 可使用该功能将其还原。如果、蠕虫或感染了,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
&&&&&&&&& Windows 禁止包括在内的外部修改系统还原。因此,程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到上,即使您已经清除了所有其他位置的受感染文件。
&&&&&&&& 此外,扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
&&&&&&& &注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
&&&&&&&& 2、安全模式或VGA 模式
&&&&&&&& 关闭,等待至少 30 秒钟后重新启动到或者 VGA 模式
&&&&&&&&& Windows 95/98/Me/2000/XP 用户:将重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动。
&&&&&&&& Windows NT 4 用户:将重启到 VGA 模式。
&&&&&&&& 扫描和删除受感染文件启动,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
&&&&&&&& 启动 Internet Explorer。单击“工具”&;“Internet 选项”。单击“常规”选项卡“Internet”部分中,单击“”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
&&&&&&&& 是一种基于的,该程序具有很强的隐蔽性和危害性,它可以在的状态下控制你或者监视你。下面就是潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招。
&&&&&&& 1、集成到程序中
&&&&&&& 其实也是一个――,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活,那么木马文件和某一捆绑在一起,然后上传到,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被上去了。到某一中,如绑定到,那么每一次Windows启动均会启动。
&&&&&&& 2、隐藏在配置文件中
&&&&&& 实在是太狡猾,知道菜鸟们平时使用的是图形化界面的,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,很容易就能在大家的中运行、发作,从而偷窥或者监视大家。不过,这种方式不是很隐蔽,容易被发现,所以在和Config.sys中加载的并不多见,但也不能因此而掉以轻心。
&&&&&&&&3、潜伏在Win.ini中
&&&&&& 要想达到或者监视的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟,比方说是这个样子:run=c:windowsfile. Exeload=c:windows。这时你就要小心了,这个file.exe很可能是。
&&&&&& & 4、伪装在普通文件中
&&&&&&& 这个方法出现的比较晚,不过很,对于不熟练的操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本——在中把图标改成Windows的图片图标,再把文件名改为*.jpg.exe,由于Win98默认设置是“不显示已知的文件后缀名”,文件将会显示为*.jpg,不注意的人一点这个图标就中了(如果你在程序中嵌一张图片就更了)。
&&&&&&& 5、内置到注册表中
&&&&&& 上面的方法让着实舒服了一阵,既没有人能找到它,又能运行,真是快哉!然而,人类很快就把它的马脚了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么在其下,睁大眼睛仔细看了,别放过木马:
HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”开头的; HKEY_CURRENT_USER\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”开头的键值; HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\ 下所有以“run”开头的键值。
&&&&&& &6、在驱动程序中藏身
&&&&&& 真是无处不在呀!什么地方有,它就往哪里!这不,Windows下的System.ini也是喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载的作用,但也是增添木马程序的好场所,你该知道也要注意这里。
&&&&&& 7、隐形于启动组中
&&&&&&& 有时并不在乎自己的行踪,它更注意的是能否自动到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。假设启动组对应的文件夹为:
&&&&&& C:\windows\startmenu\programs\startup
&&&&&& 在中的位置:
&&&&&& HKEY_CURRENT_USER\Softwar\eMicrosoft\Windows\ CurrentVersio\nExplorer\ShellFolders\Startup= “C:windows\startmenu\programs\startup”
&&&&&&& 要注意经常检查启动组。
&&&&&& 8、在Winstart.bat中
&&&&&&& 按照上面的逻辑理论,凡是利于能自动加载的地方,木马都喜欢待。这不,也是一个能自动被Windows加载运行的文件,它多数情况下为及Windows自动生成,在执行了Win. com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
&&&&&& 9、捆绑在启动文件中
即的启动配置文件,端利用这些文件能启动程序的特点,将制作好的带有启动命令的同名文件上传到覆盖这同名文件,这样就可以达到启动木马的目的了。
&&&&&& 10、设置在超级连接中
的主人在网页上放置,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它。
恶意程序破坏网站
&&&&&& 页面中的主要指的就是利用网站建设的来窃取网站机密的工具。其通过执行嵌入在网页HTML内的Java Applet小,JavaScript脚本语言程序,部件交互技术支持可自动执行的代码程序,以强行修改用户操作系统的设置及系统实用配置程序,或非法系统资源盗取用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。这种非法恶意能够得以被自动执行,在于它完全不受用户的。一旦浏览含有该的网页,即可以在你不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。
下载存在漏洞
&&&&&&& 网站建设中一旦被发现有的痕迹,主要原因就是在其它站点下载所致,目前国内的大多数中小网站都是从上下载的免费系统建成的,这些系统在设计的时候存在或多或少的安全漏洞,如动网和动易以前都存在过,导致可以上传木马至网站,轻易获得管理权限。同时Win2003本身也存在设计缺陷,如前段时间出现的新漏洞:“IIS6 目录检查漏洞”。
&&&&&&&&鉴于的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
&&&&&&& 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个, 已经有木马可以将木马程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷 惑性,但是提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
&&&&&&&& 这种伪装手段是将捆绑到一个安装上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,一类的文件)。
&&&&&&&&& 有一定知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当用户打开时,会弹出一个错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了系统。
&&&&&&&&& 很多老式的都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以很多新式的木马都加入了定制端口的功能,端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。
&&&&&&&& 这项功能是为了弥补的一个缺陷。我们知道当用户打开含有的文件后,木马会将自己拷贝到WINDOWS的中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在收到的信件和下载的中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件,判断一下哪个是木马就行了。而的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。
&&&&&&&& 安装到中的的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以有很多都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
&&&&&&&& 因好莱坞大片《特洛伊》而一举成名的“木马”(Trojan),在互联网时代让无数网民深受其害。无论是“网购”、“网银”还是“网游”的账户密码,只要与钱有关的网络交易,都是当下木马攻击的重灾区,用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。
No1:“支付大盗”
&&&&&&& “支付大盗”花钱上百度首页。
&&&&&&&& 日,一款名为“支付大盗”的新型网购木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”,诱骗网友下载运行木马,再暗中劫持受害者网上支付资金,把付款对象篡改为黑客账户。“支付大盗”木马出现在百度搜索结果首位No2:“新鬼影”
&&&&&&& “新鬼影”借《江南Style》疯传。
&&&&&&&& 火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR(主引导扇区)中,如果用户电脑没有开启安全软件防护,中招后无论重装系统还是格式化硬盘,都无法将其彻底清除干净。
No3:“图片大盗”
&&&&&& “图片大盗”最爱私密照。
&&&&&& 绝大多数网民都有一个困惑,为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集、格式图片,并筛选大小在100KB到2MB之间的文件,暗中将其发送到黑客服务器上,对受害者隐私造成严重危害。
No4:“浮云”
&&&&&&&& “浮云”木马震惊全国。
&&&&&&&& 盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单,却在后台执行另外一个高额定单,用户确认后,高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃
No5:“黏虫”
&&&&&&& “黏虫”木马专盗QQ。
&&&&&&& “QQ黏虫”在2011年度就被业界评为十大高危木马之一,2012年该木马变种卷土重来,伪装成QQ登录框窃取用户QQ帐号及密码。值得警惕的是不法分子盗窃QQ后,除了窃取帐号关联的虚拟财产外,还有可能假冒身份向被害者的亲友借钱。“黏虫”木马制造的虚假QQ登录框
No6:“怪鱼”
&&&&&&& “怪鱼”木马袭击。
&&&&&&&& 2012年十一长假刚刚结束,一种名为“怪鱼”的新型木马开始肆虐网络。该木马充分利用了新兴的社交网络,在中招电脑上自动登录受害者微博帐号,发布虚假中奖等钓鱼网站链接,绝对是2012年最具欺骗性的钓鱼攻击方式之一。
No7:“打印机木马”
&&&&&&&& “打印机木马”疯狂消耗纸张。
&&&&&&&& 2012年6月,号称史上最不环保的“打印机木马”(Trojan.Milicenso)现身,美国、印度、北欧等地区大批企业电脑中招,导致数千台打印机疯狂打印毫无意义的内容,直到耗完纸张或强行关闭打印机才会停止。
打印机木马病毒疯狂打印纸张No8:“网银刺客”
&&&&&&& “网银刺客”木马暗算多家网银。
&&&&&&&& 2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发,该木马恶意利用某截图软件,把正当合法软件作为自身保护伞,从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金,影响十余家主流网上银行。
No9:“遥控弹窗机”
&&&&&&&& “遥控弹窗机”木马爱上偷菜。
&&&&&&&& “遥控弹窗机”是一款伪装成“QQ农牧餐大师”等游戏外挂的恶意木马,运行后会劫持正常的QQ弹窗,不断弹出大量低俗页面及网购钓鱼弹窗,并暗中与黑客服务器连接,随时获取更新指令,使受害者面临网络帐号被盗、个人泄露的危险。
No10:“Q币木马”
&&&&&&& “Q币木马”元旦来袭。
&&&&&&&& 新年历来是木马病毒活跃的高峰期,2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假QQ弹窗,诱骗中招用户在Q币充值页面上进行支付,充值对象则被木马篡改为黑客的QQ号码,相当于掏钱替黑客买。
No11: “修改中奖号码”
&&&&&&&& 2009年6月,深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点,深圳市某技术公司软件开发工程师程某,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。木马程序
&&&&&&&&& 随着DOS攻击越来越广泛的应用,被用作DOS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DOS攻击木马,那么日后这台计算机就成为你DOS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DOS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。还有一种类似DOS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。木马藏在何处-远离远程控制
&&&&&& 木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了。 然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!相信不熟悉木马的菜鸟们肯定想知道木马在哪里这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招。& 1.内置到注册表中 上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; HKEY-USERS_DefaultSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值。 2.在System.ini中藏身 木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell= Explorer.exefile.exe。 如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的 [386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里。 3.集成到程序中 其实木马也是一个服务器―― 客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次 Windows启动均会启动木马。 4.潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子: run=c:windowsfile. Exeload=c:windowsfile.exe 这时你就要小心了,这个file.exe很可能是木马。 5.伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本——在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于Win98默认设置是“不显示已知的文件后缀名”,文件将会显示为 *.jpg,不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 6.隐形于启动组中 有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。启动组对应的文件夹为: C:windowsstartmenuprogramsstartup 在注册表中的位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup=“C:windowsstartmenuprogramsstartup” 要注意经常检查启动组。 7.隐蔽在Winstart.bat中 按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。 由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。&&&&8.捆绑在启动文件中 即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 9.设置在超级连接中 木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它。 10.隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。 不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
TA的最新馆藏
喜欢该文的人也喜欢
