电脑染上木马病毒有什么现象
电脑中毒一般并不会有明显的状态的,如果有一般就是下面的12种状态:
1.经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
2.系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
3.文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
4.经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
5.提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制,因查看的是整个网络盘的大小,其实“私人盘”上容量已用完了。
6.软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
7.出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
8.启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
9.数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。
10.键盘或鼠标无端地锁死:病毒作怪,特别要留意“木马”;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。
11.系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
12.系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。
实用电脑小常识
现代社会中,电脑已经成为人们生活和工作不可缺少的工具,但电脑也越来越成为一把“双刃剑”:它在给人们生活和工作带来方便、快捷的同时,也在悄悄地危及人们的健康,引起人的视力衰退、关节损伤、辐射伤害、头部和肩膀疼痛。据调查,常用电脑的人中感到眼睛疲劳的占83%,肩酸腰痛的占63.9%,头痛和食欲不振的则占56.1%和54.4%,还会出现自律神经失调、忧郁症、动脉硬化性精神病等。
专家指出,“电脑病”的产生主要是和人们在电脑面前的坐姿、使用方法,以及使用时间长短有关。因此,对长期使用电脑的人来说,做好防护工作非常重要。
一、坐姿正确。在操作电脑时尽可能保持自然的端坐位,将后背坐直,并保持颈部的挺直。两肩自然下垂,上臂贴近身体,手肘弯曲成90度,操作键盘或滑鼠,尽量使手腕保持水平。
二、电脑的摆放高度要合适。将电脑屏幕中心位置安装在与操作者胸部同一水平线上,最好使用可以调节高低的椅子。应有足够的空间伸放双脚,膝盖自然弯曲成90度,并维持双脚着地,不要交叉双脚,以免影响血液循环。
三、与屏幕保持恰当的距离。眼睛与电脑屏幕的距离应在40—50厘米,使双眼平视或轻度向下注视荧光屏,这样可使颈部肌肉轻松,并使眼球暴露于空气中的面积减小到最低。
四、劳逸结合。避免长时间连续操作电脑,使用电脑的时间最好是30分钟就休息一下,可到室外散步,或抬头望天,或向远处眺望,或进行10至20次伸颈和扩胸练习。
五、保持皮肤清洁。电脑荧光屏表面存在着大量静电,其积聚的灰尘可转射到脸部和手的皮肤裸露处,时间久了,易发生斑疹、色素沉着,严重者甚至会引起皮肤病变等。为减少辐射,应使办公室保持通风干爽,这样能使那些有害物质尽快排出,在电脑桌下放一盆水或是放一盆花草也可减少辐射,勤洗脸也能防止辐射波对皮肤的刺激。
六、合理膳食。平时多吃些胡萝卜、白菜、豆芽、豆腐、红枣、橘子以及牛奶、鸡蛋、动物肝脏、瘦肉等食物,少食肥甘厚味及辛辣刺激性食品,以补充人体内维生素A和蛋白质。平时可多饮些茶,茶叶中含有茶多酚等活性物质,有利于吸收与抵抗放射性物质。
最后别忘了,使用电脑后,一定要洗手。键盘上面附着着很多细菌和病毒,也会给人带来伤害。
MP3搜索发现病毒连接
最近发现了利用MP3搜索引擎木马传播的病毒。通过百度、一搜下载MP3以后,电脑都出现了中病毒的症状。一名网友说,她在百度的MP3搜索引擎上将一首MP3格式的歌曲文件下载到电脑后,运行该MP3文件时,电脑浏览器首页被改成了一个从未见过的网址,而鼠标右键也不能用了。
据反病毒专家分析后发现,这些网友通过连接所下载的并不是MP3文件,而是一个病毒文件。瑞星反病毒专家刘刚介绍说,这是一个名叫“首页变种AHK(Trojan.StartPage.ahk)”的木马病毒,感染这个病毒后浏览器会被强行修改,电脑运行变慢甚至崩溃,鼠标右键也出现异常,目前在百度和一搜的MP3搜索引擎中都发现了这个病毒。而通过MP3搜索引擎来传播病毒,这在国内还是首次发现。
由于通过MP3文件传播病毒形式更加隐蔽,专家提供了四条建议:一、计算机一定要安装杀毒软件并注意及时升级;二、上网时应打开杀毒软件的实时监控功能;三、利用杀毒软件的“漏洞扫描”弥补系统漏洞;四、从网上下载电影、音乐文件后应对其进行病毒扫描。
解决系统资源不足问题
第一种思路:
1.清除“剪贴板”
当“剪贴板”中存放的是一幅图画或大段文本时,会占用较多内存。请清除“剪贴板”中的内容,释放它占用的系统资源:单击“开始”,指向“程序”,指向“附件”,指向“系统工具”,单击“剪贴板查看程序”,然后在“编辑”菜单上,单击“删除”命令。
2.重新启动计算机
只退出程序,并不重新启动计算机,程序可能无法将占用的资源归还给系统。请重新启动计算机以释放系统资源。
3.减少自动运行的程序
如果在启动Windows时自动运行的程序太多,那么,即使重新启动计算机,也将没有足够的系统资源用于运行其他程序。设置Windows不启动过多程序:其一,单击“开始→运行”,键入“msconfig”,单击“确定”按钮,单击“启动”选卡,清除不需要自启动的程序前的复选框。其二,单击“开始→运行”,键入“sysedit”,单击“确定”按钮,删除“autoexec.bat”、“win.ini”和“config.sys”文件中不必要的自启动的程序行。然后,重新启动计算机。
4.设置虚拟内存
虚拟内存不足也会造成系统运行错误.可以在“系统属性”对话框中手动配置虚拟内存,把虚拟内存的默认位置转到可用空间大的其他磁盘分区。
5.应用程序存在Bug或毁坏
有些应用程序设计上存在Bug或者已被毁坏,运行时就可能与Windows发生冲突或争夺资源,造成系统资源不足。解决方法有二:一是升级问题软件,二是将此软件卸载,改装其他同类软件。
6.内存优化软件
不少的内存优化软件,如RAM Idle和Memo Kit都能够自动清空“剪贴板”、释放被关闭程序未释放的系统资源、对虚拟内存文件(Win386.swp)进行重新组织等,免除手工操作的麻烦,达到自动释放系统资源的目的。
第二种思路:
1.禁用一部分启动项
启动时加载过多的应用程序会使Windows因系统资源严重不足而“蓝屏”,因此我们最好运行“Msconfig”禁用一部分应用程序。或者使用Windows优化大师来代劳。
2.设置足够的虚拟内存
虚拟内存不足也会造成系统多任务运算错误,我们可以通过时常删除一些临时文件和交换文件对此问题加以解决,此外还可以在“系统属性”下手动配置虚拟内存,把虚拟内存的默认位置转到其他逻辑盘下。并设置得大一些。
3.给硬盘保留足够空间
由于Win9X运行时需要用硬盘作虚拟内存,这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言,最低应保证100MB以上的空间,否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外,硬盘的碎片太多,也容易导致“蓝屏”的出现。因此,每隔一段时间进行一次碎片整理是必要的。
4.使用内存管理软件
剩下的就是些杂项了,诸如不用activedesktop之类浪费资源的功能。使用内存管理软件,如RAM Idle之类的。养成好习惯,暂时不用的程序就将其关闭。
手机中了木马病毒该怎么办
1、对付顽固木马,先给手机获取ROOT权限是没错的,因为很多顽固木马就是依靠隐藏在手机系统软件中,让没有权限删除的用户无可奈何,为此现在很多手机都带有内置ROOT功能,所以在获取手机ROOT权限之前,先打开手机——设置——安全——看是否有ROOT权限开启功能。
2、如果你的手机没有内置的ROOT权限功能,那就只能通过软件强制获取了,下载【KINGROOT】这个工具。
3、下载安装这个工具后,然后把手机打开USB调试后连接到电脑上,打开KINGROOT,对你的手机开始一键root操作就可以了。
【手机杀毒操作步骤】
1、手机获取好ROOT权限后,下一步就是对手机病毒的清理了,我常用的杀毒软件是腾讯手机管家,打开后在防护监控功能界面找到【病毒查杀】。
2、看到这一步后,不要急匆匆的去想要杀毒,点击右上角的这个齿轮标志,可以打开一个设置里面,在里面有一个【顽固木马专杀】功能点击加载。
3、加载好之后,下一步自然就是给你的手机杀毒了,先点击病毒扫描,等扫描完成之后,再点病毒查杀,把手机里面的病毒清除杀掉就可以了。
注意事项
ROOT后杀毒,可能会导致手机失去保修,所以用的时候要谨慎小心
我的笔记本电脑检测出了木马病毒,该怎么办?
现在我们来说防范木马的方法,就是把 windows\system\mshta.exe文件改名,
改成什么自己随便 (xp和win2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除)
一些最新流行的木马 最有效果的防御~~
比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....
假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马
都很有效果的
经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理 临时文件夹和IE
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的 DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称为Loader, Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
“3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”,CnsMin.dll是网络实名的DLL文件,这样就通过 Rundll32命令实现了网络实名的功能。
简单防御方法
DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。木马的防治方法1、禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
2、将计算机重启到安全模式或者 VGA 模式
关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户:将计算机重启到 VGA 模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
[1]木马病毒专杀工具
远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧
反木马病毒
木马专杀工具
木马防线 2005 V4.16
木马分析专家 2005 V6.57
木马克星(iparmor) V5.47
病毒.流行木马.盗号软件统杀工具
木马专杀大师 V2.6
木马专家 2005 0102
Windows木马清道夫
木马分析专家个人防火墙排查出电脑的木马1、集成到程序中
由于用户一般不会主动程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。
这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。如果捆绑到系统文件中,那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马。
2、隐藏在媒体文件中
这种类型严格上说,用户还没有中木马。不过它的危害容易被人忽略。因为大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。
因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。
3、隐藏在System.ini
4、隐藏在Win.ini
与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。
5、隐藏在Autoexec.bat
在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行,因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。
6、任务管理器
部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。若有,可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。
7、启动
在Windows XP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。
8、注册表
我们程序的运行控制大多是由注册表控制的,因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器,然后依次检查如下区域:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。
木马之所以能够为非作歹,正是因为其善于隐藏自己。不过我们掌握了其藏身之处,那么则可以将其一一清除。当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种方法来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。新人快速上手指南之电脑木马查杀大全 常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”-“运行”-“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”-“运行”-“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”-“运行”-“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”-“运行”-“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。修改注册表增强系统对木马病毒的防御通常木马病毒是通过注册表来启动服务的,所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说,我们可以通过修改注册表的属性来预防病毒和木马,实际上亦可行,具体的实施方法如下:
Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用gpedit.msc)
3、手工操作可以通过regedt32(Windows2000系统,在菜单“安全”下的“权限”)或regedit(Windows2003/XP,在“编辑”菜单下的“权限”)
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。 [3]
如何预防木马病毒?
预防木马病毒,应该采取以下措施
1.安装杀毒软件和个人防火墙,并及时升级。
2. 把个人防火墙设置好安全等级,防止未知程序向外传送数据。
3. 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
4. 如果使用IE 浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
5. 不要执行任何来历不明的软件
6. 不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的,而且有的还会连环扩散,因此对邮件附件的运行尤其需要注意。
7. 重新选择新的客户端软件 很多木马病毒主要感染的是Microsoft 的OutLook 和OutLook Express 的邮件客户端软件,因为这两款软件全球使用量最大,黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件,例如Foxmail 等,收到木马病毒攻击的可能性就将减小,至少不会反复感染给通信录中的好友。此外也可以直接通过Web方式来访问信箱,这样就能大大降低木马病毒的感染概率。
8. 将资源管理器配置成始终显示扩展名将Windows 资源管理器配置成始终显示扩展名,一些文件扩展名为vbs 、shs 、pif 的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
9. 尽量少用共享文件夹如果因工作等原因必须将电脑设置成共享,则最好单独设置一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
10. 运行反木马实时监控程序木马防范重要的一点就是在上网时最好运行反木马实时监控程序,TheCleaner 等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
11. 经常升级系统和更新病毒库。经常关注微软和杀毒软件厂商网站上的安全公告,这些网站通常都会及时地将漏洞、木马和更新公布出来,并在第一时间发布补丁和新的病毒库等。
一般用户在使用电脑的过程中要注意的几点
1、天上是不会掉馅饼的。
你可能会收到这样的消息,告诉你点击某个网站就可以得到什么好处。这往往是病毒的制造者给你设的陷井,只要你照他说的做了,那你的电脑中病毒的可能性就会提高!因此说,不熟悉的网站要提高警觉。
2、减少好奇心。
邮件中的附件不要轻易点击。陌生人给你发送的邮件如果包含的附件,多数情况下附件是病毒文件。有一些附件为了引诱用户点击经常将自己伪装成美女图片、美女情书或是跟美女有关的东西。切记有时好奇心大了不一定是好事!
3、提高警惕。
现在的病毒也能做到假借你朋友的名义给你传送文件,所以说当收到朋友给你传来的文件后,向朋友问明文件的内容后再打开查看也不晚!
4、非必要的网站插件不要安装
去某些网站时总会提醒你安装某某插件。先了解插件的作用后再安装也不迟。当然有一些插件是需要安装的,比如:Flash插件、相关银行网站的安全插件等。对于一些不知名网站的插件或用处不大的插件,最好不要安装。
如何防止木马病毒?
现在网络安全实在不可恭维,这俩天看新闻说现在都有“互联网雾霾”了,所谓的互联网雾霾就是钓鱼欺诈、木马病毒、网络垃圾、恶意骚扰等严重侵害用户上网权利,污浊互联网上网环境的恶意行为,这些网络不良风气,因而我们必须提高对木马病毒的警惕~
1. 不要随便在未知的网站上下载不明软件
2. 坚持给电脑杀毒
3. 我建议您像我一样使用腾讯电脑管家的新版本星星版,因为这款软件是唯一公开向互联网雾霾发出挑战的电脑软件,具有全球首创“管理 杀毒”2合1的安全软件,试试吧~
木马大全,我想要有关木马病毒的各个名称?
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.qq3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
建议你使用腾讯电脑管家来进行病毒查杀
因为腾讯电脑管家是4+1杀毒引擎,管家反病毒引擎、金山云查杀引擎、小红伞本地查杀引擎和管家云引擎,新版本在此基础上启用了管家系统修复引擎,重点加强了“云安全”平台的建设和自研引擎的研发能力,也属国内首例采用“4+1”核“芯”杀毒引擎架构的。 所以杀毒能力是很强悍的,可以信赖!
什么是特洛伊木马病毒?
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.
1. Trojan Remover Update 6.4.7 Date 01.27
一个专门用来清除特洛伊木马和自动修复系统文件的工具。
antivirus.pchome.net/trojan/1070.html
2. ZoneAlarm Free 6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程
www.onlinedown.net/soft/1017.htm
3. Trojan Remover 6.4.7 Date 01.27
专门用来清除特洛伊木马和自动修复系统文件的工具
antivirus.pchome.net/trojan/7704.html
4. Trojan Remover 6.46(Database 6461)
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描
www.onlinedown.net/soft/2902.htm
5. 木马终结者 V3.5
特洛伊木马病毒一种破坏力十分强的黑客病毒,你只要中
www.skycn.com/soft/2519.html
6. LDM木马检测程序 2003钻石版
LDM木马检测程序是大部分流行特洛伊木马病毒的克星,是一个专门防制特洛伊木马病毒的
www.onlinedown.net/soft/11555.htm
7. The Cleaner Database V3887
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
www.skycn.com/soft/3760.html
8. Trojan Remover V6.4.6(Database 6461) Update
Trojan Remover 是一个专门用来清除特洛伊木马和自动修
www.skycn.com/soft/3217.html
9. 木马终结者 3.33
所有特洛伊木马病毒的克星,专门防制特洛伊木马病毒的防毒软件
antivirus.pchome.net/trojan/8238.html
10. 木马杀手 Trojan System Cleaner 3.5.1117
木马杀手会检测现存的特洛伊木马程序的活动、复原被特洛伊木马修改的系统文件,杀除特
www.onlinedown.net/soft/17193.htm
11. Trojan Remover Database Update 6461
Trojan Remover 是一个专门用来清除特洛伊木马和自动修
www.skycn.com/soft/3219.html
12. ZoneAlarm Pro 6.1.737.000
保护你的电脑,防止Trojan(特洛伊木马)程序
antivirus.pchome.net/others/8104.html
13. Trojan Remover 6.4.6 Database 6461 Update
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描
www.onlinedown.net/soft/2903.htm
14. ZoneAlarm Security Suite V6.1.737.000
ZoneAlarm 保护你的电脑,防止Trojan(特洛伊木马)程序
www.skycn.com/soft/3769.html
15. 熊猫卫士 钛金版2.05.00
*基于极速“UltraFast”引擎,快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java
www.onlinedown.net/soft/9066.htm
16. Trojan Remover Database 6461
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描
www.onlinedown.net/soft/2905.htm
17. ZoneAlarm Pro 6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程
www.onlinedown.net/soft/1019.htm
18. Antiy Ghostbusters Pro 5.05
一个专业级别的特洛伊木马检测和系统安全工具
download.pchome.net/internet/safe/15974.html
19. The Cleaner Pro V4.1 Build 4252
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
www.skycn.com/soft/3758.html
20. ZoneAlarm Free V6.1.737.000
ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程
www.skycn.com/soft/9443.html
21. ZoneAlarm Pro V6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序
www.skycn.com/soft/3770.html
22. ZoneAlarm Pro V6.1.737.000 Beta
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕?
download.21cn.com/list.php?id=3458
23. Antiy Ghostbusters Advanced Edition 5.04
AntiyLabs出品的专业级特洛伊木马检测工具,被网友称为“捉鬼队”。该软件可以对驱动
www.onlinedown.net/soft/7660.htm
24. Trojan Remover 木马病毒库 6072
一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫
download.21cn.com/list.php?id=5317
25. The Cleaner Pro 4 updates Database 3860
一个专门检测和清除侵入您系统中的特洛伊木马的专业程序,内置3093个木马标识。可在线
www.onlinedown.net/soft/1445.htm
26. Digital Patrol 5.00.31
专门检测系统中特洛伊木马程序的扫毒软件
antivirus.pchome.net/trojan/12504.html
27. 熊猫卫士 7.0铂金版中文测试版
*基于极速“UltraFast”引擎,快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java
www.onlinedown.net/soft/9065.htm
28. Trojan Remover V6.4.6(Database 6457)
Trojan Remover 是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检?
download.21cn.com/list.php?id=7335
29. Trojan Remover V6.3.3 Date 12.20
Trojan Remover是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查
download.21cn.com/list.php?id=3692
30. The Cleaner V3.5.4.3519(DataBase 3359) 汉化版
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
www.skycn.com/soft/3759.html
31. Anti-Trojan 5.5.421
Anti-Trojan扫描隐藏在你的系统里的具有破坏性的特洛依木马程序。它利用三重扫描来检
www.onlinedown.net/soft/1318.htm
32. TDS-3: Trojan Defence Suite 3.2.0
防特洛伊木马的软件,可以检测到360种以上的特洛伊木马和电脑蠕虫
antivirus.pchome.net/trojan/10170.html
33. ZoneAlarm Pro 4.5.594
保护你的电脑,防止Trojan(特洛伊木马)程序
antivirus.pchome.net/others/10678.html
34. 木马终结者 V3.37
特洛伊木马病毒一种破坏力十分强的黑客病毒。你只要中了毒,你的计算机将被黑客控
download.21cn.com/list.php?id=10681
35. The Cleaner (executable only) 3.54 Build 3528
一个专门检测和清除侵入您系统中的特洛伊木马的专业程序
antivirus.pchome.net/cleaner/8957.html
36. BoDetect 3.5
一个专门用来监测和删除特洛依木马之类的小工具
antivirus.pchome.net/trojan/10171.html
37. ZoneAlarm Anti-Spyware V6.1.737.000
ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程
www.skycn.com/soft/9442.html
38. ZoneAlarm Free 6.0.629.000 Beta
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程
www.onlinedown.net/soft/20642.htm
39. LDM木马检测程序 Power XP Build 688C
特洛伊木马病毒一种破坏力十分强的黑客病毒,你只要中
www.skycn.com/soft/8731.html
40. Advanced Registry Tracer 2.03
具有侦测出特洛伊木马病毒功能
download.pchome.net/system/treak/10607.html
41. 木马杀手(Trojan System Cleaner) V3.5.1117
木马杀手会检测现存的特洛伊木马程序的活动、复原被特
www.skycn.com/soft/14265.html
特洛译木马病毒的资料
一、初识特洛伊木马
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的
二、极度危险的恶意程序攻击者早就溜之大吉。
对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在,但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,例如,经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具,用户所有的磁盘空间几乎都被侵占殆尽,但除此之外,特洛伊木马还有其独一无二的特点——窃取内容,远程控制——这使得它们成为最危险的恶意软件。
首先,特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风,特洛伊木马能够窃听谈话内容。如果PC带有摄像头,许多特洛伊木马能够把它打开,捕获视频内容——在恶意代码的世界中,目前还没有比特洛伊木马更威胁用户隐私的,凡是你在PC前所说、所做的一切,都有可能被记录。
一些特洛伊木马带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门,即使木马后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。
其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,当然还可以利用被侵占的机器攻击其他机器。二年前,一个家庭用户请我帮忙,要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址,而且在他的浏览器缓冲区中,我也找到了该笔有争议的交易的痕迹。另外,我还找到了SubSeven(即Backdoor_G)特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关,但可以看出交易发生之时特洛伊木马正处于活动状态。
三、特洛伊木马的类型
常见的特洛伊木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面,所以这些特洛伊木马的体积也往往较大,通常达到100 KB至300 KB,相对而言,要把它们安装到用户机器上而不引起任何人注意的难度也较大。
对于功能比较单一的特洛伊木马,攻击者会力图使它保持较小的体积,通常是10 KB到30 KB,以便快速激活而不引起注意。这些木马通常作为键记录器使用,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常,这些微型的木马只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。
随便找一个Internet搜索网站,搜索一下关键词Remote Access Trojan,很快就可以得到数百种特洛伊木马——种类如此繁多,以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列,每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头,它不仅有一个可编程的API,还有许多其他新型的功能,令许多正规的远程控制软件也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)发行,希望能够吸引一批正规用户,以此与老牌的远程控制软件如pcAnywhere展开竞争。
但是,它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得较好,在Windows NT机器上则略逊一筹)、密码、插件等。
Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个软件开发工具包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。
■ SubSeven
SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。
SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计算机,等等。
SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。
四、检测和清除特洛伊木马
如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐,那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马是系统管理员的首要任务。
要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几年的成功已经证明了它的效果。
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。
大多数操作系统,当然包括Windows,都带有检测IP网络状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口有一定的了解)。
五、处理遗留问题
检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,那么攻击者利用该木马可能已经有相当长的时间了。
其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗?攻击者获取管理员权限了吗?仔细检查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外?
在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合,最好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)。
在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害。
参考资料:http://db.kingsoft.com/muma/mutruth/