如果一台电脑中了木马会传染给其他的电脑吗?
当然会了,如果你是在局域网,会传给同室或同单位的电脑,如果你电脑有上网,还有可能传到全球的任何一台电脑。
解决方法:下载查杀木马工具或防病毒软件,比如360安全卫士或卡巴斯基之类的。
电脑病毒 木马 会不会通过路由器传播?
不会,路由没有存储能力,不会传播病毒。
木马传播的方法大概有以下几种:
1,诱惑点击一些图片、链接,从而误入带毒网站。
2,在邮件中发布木马,诱惑点击。
3,在贡献的游戏文件、软件安装包中后置木马。
4,对防御比较低或者裸奔的电脑植入木马。
特洛伊木马程序原理及传染机制分析
木马,也称特洛伊木马,英文名称为Trojan Horse,是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城,久久不能得手。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到 “木马”这个奇异的战利品,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开密门游绳而下,开启城门四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为 “特洛伊木马”,现今计算机术语借用其名,意思是 “一经进入,后患无穷”。特洛伊木马原则上和一些远程控制程序如PCanywhere等一样,只是一种远程管理工具,而且本身不带伤害性,也没有感染力;但却常常被人们视之为病毒,原因是如果有人不当地使用,破坏力可以比病毒更强。
由于很多新手对安全问题了解不多,再加上木马程序具有隐蔽性强的特点,不借助专门的监控软件,很不容易发现特洛伊木马的存在和黑客的入侵。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的 “木马”程序,因此最关键的是要知道“木马”的工作原理,这样就会很容易发现 “木马”,并且知道怎么清除自己计算机中的 “木马”了。
木马攻击原理
木马攻击是黑客最常用的攻击方法,因此,在本章中我们将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,远程监控这台计算机上的所有操作。
在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是攻击技术却不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱,而且随着国产木马的不断出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马作为后门,以便将来随时方便进出这台服务器。
提示
黑客高手们自己编写的木马一般杀毒软件和木马扫描软件都不会认为是木马或病毒,具有很大的危害性。
1、木马的分类
常见的木马主要可以分为以下9大类:
(1)破坏型
这种木马唯一的功能就是破坏并且删除文件,它们非常简单,很容易使用。能自动删除目标机上的DLL、INI、
EXE文件,所以非常危险,一旦被感染就会严重威胁到电脑的安全。不过,一般黑客不会做这种无意义的纯粹
破坏的事,除非你和他有仇。
(2)密码发送型
这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。有人
喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记
忆功能,这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码,它们大多数会
在每次启动Windows时重新运行,而且多使用25号端口上送E-mail。如果目标机有隐藏密码,这些木马是非
常危险的。
(3)远程访问型
这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序,客户
端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。
当然,这种远程控制也可以用在正道上,比如教师监控学生在机器上的所有操作。
远程访问型木马会在目标机上打开一个端口,而且有些木马还可以改变端口、设置连接密码等,为的是只
有黑客自己来控制这个木马。
改变端口的选项非常重要,因为一些常见木马的监听端口已经为大家熟知,改变了端口,才会有更大
的隐蔽性。
(4)键盘记录木马
这种特洛伊木马非常简单。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码,并且随
着Windows的启动而启动。它们有在线和离线记录这样的选项,可以分别记录你在线和离线状态下敲击键盘时的按键
情况,也就是说你按过什么按键,黑客从记录中都可以知道,并且很容易从中得到你的密码等有用信息,甚至是你
的信用卡账号哦!当然,对于这种类型的木马,很多都具有邮件发送功能,会自动将密码发送到黑客指定的邮箱。
(5)DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后,给
他种上DoS攻击木马,那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多,发
动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在黑客利用
它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对
特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
(6)FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马
还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
(7)反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于
连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控
制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动
端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口时,发现类似TCP
UserIP:1026 Controller IP:80 ESTABLISHED的情况,稍微疏忽一点,就会以为是自己在浏览网页,因为浏
览网页都会打开80端口的。
(8)代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上
代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的
情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
(9)程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常
见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程
序,让其他的木马更好地发挥作用。
提示
(8)、(9)两种类型的木马实际上是其它类型的木马可能具有的功能,如很多远程访问型木马都可以使
用代理服务器的方式连接肉机,而且连上肉机上首先检查对方不是开启了防火墙,如果有,则杀掉其进程,
这样更有利于黑客隐藏身份,从而实现远程控制的目的。
2、木马是如何侵入系统的
我们知道:一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控
制植入木马的计算机,服务器端程序就是我们通常所说的木马程序。攻击者要通过木马攻击计算机系统,所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
提示
注意木马的客户端和服务器端的称谓,被置了木马的机器称为服务器端,而黑客控制的一端称为客户端。
目前木马入侵的主要途径是通过一定的方法把木马执行文件植入被攻击者的电脑系统里,如通过邮件发送、文件下载、网页浏览等,然后通过一定的提示误导被攻击者打开执行文件,比如谎称该木马执行文件是朋友的贺卡文件,用户在毫无防备的情况下打开这个文件后,确实有贺卡的画面出现,但这时木马可能已经在后台悄悄运行了。
那为什么用户一般都不会发现自己的主机运行了木马程序呢?
这主要是因为木马的执行文件一般都非常小,最大不过几十K。因此,如果把木马捆绑到其他正常文件上是很难发现的。有一些网站提供的软件下载往往是捆绑了木马文件的,在执行这些下载的文件时,也同时运行了木马。
木马在被植入主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,攻击者有这些信息才能够与木马里应外合控制攻击主机。
由于任何木马都有一个服务端程序,要对一台目标机进行远程控制都必须将服务端程序送入目标机,并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步,也是很有技巧的一步。
木马的传播方式主要有两种:
① 通过E-mail,由控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马。
这一种方式关键的一点,就是如何让对方打开附件。一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容,促使对方毫无知觉地自动种上木马,被你控制。
② 通过软件下载,一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装了。
要想对方下载你放在网站上的软件,可以取一些特诱惑人的名称,如某某明星的图片,某某软件的破解版等让人易上当的名称,从而也让别人在不知不觉中种上木马,将端口开放给你,任你使用。
在早期的木马里面,大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击者就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。
不过,使用电子邮件的方式对攻击者来说并不是最好的选择,因为如果木马被发现,就可以通过该电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。
除了邮件植入外,木马还可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入,由于IE浏览器在执行Script脚本上存在安全漏洞,因此,木马就可以利用这些漏洞很容易植入被攻击的电脑。
此外,木马还可以利用一些系统漏洞植入,如著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序使IIS服务器崩溃,同时在服务器上执行木马程序,从而植入木马。
3、木马是如何实施攻击的
木马可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。它可能泄漏一些系统的私有信息,或者控制该系统,这样,它实际上就潜伏着很大的危险性。
通常木马采取六个步骤实施攻击:配置木马 (伪装木马)→传播木马 (通过E-mail或者下载)→运行木马 (自动安装、自启动)→信息泄漏 (E-mail、IRC或ICQ的方式把你的信息泄露出去)→建立连接→远程控制。
至此,木马就彻底掌握了主动权,而你,就坐以待毙吧!
木马程序是什么?
在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马,当初怎么就想不通它与病毒扯上关系了。经过一番了解,原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市,从而一举占领敌方城市的故事,因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟:它就是通过潜入你的电脑系统,通过种种隐蔽的方式在系统启动时自动在后台执行的程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,达到当你上网时控制你的电脑,以窃取你的密码、游览你的硬盘资源,修改你的文件或注册表、偷看你的邮件等等。
一旦你的电脑被它控制,则通常表现为蓝屏然死机;CD-ROM莫名其妙地自己弹出;鼠标左右键功能颠倒或者失灵或文件被删除;时而死机,时而又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。
不过要知道,即使发现了你的机器染上木马病毒,也不必那么害怕,因为木马病毒与一般病毒在目的上有很大的区别,即使木马运行了,也不一定会对你的机器造成危害。但肯定有坏处,你的上网密码有可能已经跑到别人的收件箱里了,这样黑客们就可以盗用你的上网账号上网了!木马程序也是病毒程序的一类,但更具体的被认为黑客程序,因为它入侵的目的是为发布这些木马程序的人,即所谓的黑客服务的。
本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。
木马的基本特征
木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征:
1、隐蔽性是其首要的特征
如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面:
a、不产生图标
它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;
b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。
2、它具有自动运行性
它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能
现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开特别的端口
木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。
6、 功能的特殊性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
7、黑客组织趋于公开化
以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。
木马入侵的常用手法及清除方法
虽然木马程序千变万化,但正如一位木马组织的负责人所讲,大多数木马程序没有特别的功能,入侵的手法也差不多,只是以前有关木马程序的重复,只是改了个名而已,现在他们都要讲究效率,据说他们要杜绝重复开发,浪费资源。当然我们也只能讲讲以前的一些通用入侵手法,因为我们毕竟不是木马的开发者,不可能有先知先觉。
1、在win.ini文件中加载
一般在win.ini文件中的[windwos]段中有如下加载项:
run= load= ,一般此两项为空,如图1所示。
图1
如果你发现你的系统中的此两项加载了任何可疑的程序时,应特别当心,这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中之后,那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序,但你要知道这更是木马利用的好机会,它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,这个文件名也往往用你常见的文件,如command.exe、sys.com等来伪装。
2、在System.ini文件中加载
我们知道在系统信息文件system.ini中也有一个启动加载项,那就是在[BOOT]子项中的“Shell”项,如图2所示。
图2
在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样,只需稍稍改"Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的,而是直接把“Explorer”改为别的什么名字,因为他知道还是有很多朋友不知道这里就一定是“Explorer”,或者在“Explorer”加上点什么东东,加上的那些东东肯定就是木马程序了。
3、修改注册表
如果经常研究注册表的朋友一定知道,在注册表中我们也可以设置一些启动加载项目的,编制木马程序的高手们当然不会放过这样的机会的,况且他们知道注册表中更安全,因为会看注册表的人更少。事实上,只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如图3所示;
图3
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如图4所示。
图4
你只要按照其指定的源文件路径一路查过去,并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了,不过同样要注意木马的欺骗性,它可是最善于伪装自己呵!同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名,如有则立即删除。
4、修改文件打开关联
木马程序发展到了今天,他们发现以上的那些老招式不灵了,为了更加隐蔽自己,他们所采用隐蔽的手段也是越来越高明了(不过这也是万物的生存之道,你说呢?),它们采用修改文件打开关联来达到加载的目的,当你打开了一个已修改了打开关联的文件时,木马也就开始了它的运作,如冰河木马就是利用文本文件(.txt)这个最常见,但又最不引人注目的文件格式关联来加载自己,当有人打开文本文件时就自动加载了冰河木马。
修改关联的途经还是选择了注册表的修改,它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目,如冰河木马修改的对象如图5所示,
图5
如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”,而是改为“sy***plr.exe %1”。
以上所介绍的几种木马入侵方式,如果发现了我们当然是立即对其删除,并要立即与网络断开,切断黑客通讯的途径,在以上各种途径中查找,如果是在注册表发现的,则要利用注册表的查找功能全部查找一篇,清除所有的木马隐藏的窝点,做到彻底清除。如果作了注册表备份,最好全部删除注册表后再导入原来的备份注册表。
在清除木马前一定要注意,如果木马正在运行,则你无法删除其程序,这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项,如果你是在木马处于活动时删除该项的话它能自动恢复,这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除
给我讲讲木马病毒
什么是木马
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
什么是木马
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
瑞星杀毒,金山毒霸,木马克星,卡巴斯基杀毒,江民杀毒都可以
木马--并不是一种对自己不利的“病毒”,能够应用和奴驾它的人,就将它看为是一种资源,像一些黑客用木马盗取某些国家或公司的机密文件等等……
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
一般自己中了木马病毒,首先要认清这是个什么病毒 有的很简单也很好解决,像Trojan.DL.Agent.dqi Trojan/Agent.ls都是很好解决的--先断开网络,然后打开IE浏览器,点工具里的INTERNET选项,然后把INTERNET临时文件夹中的所有文件都删除,最后再用瑞星就可以杀掉了。
参考资料 ;pagelist=171
其实 Trojan是某些防毒软件对后门木马的一种统称,它并不代表着固定的一个,而是一类,所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件,并且有很强的清除能力,如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下,但这里需要特别提醒一点: 由于这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗?有的,下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan 木马的方法:
使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名,您需要先准确的记录下这个文件名。比如:如果防毒软件提示 C:\Windows\hello.dll 是 Trojan/Agent.l,则记下 C:\Windows\hello.dll 这个名字。这里需要注意文件名一定要记准确,因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近,比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数字0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的文件清除掉,那就麻烦了;
暂停防毒软件的实时监控,这一点很重要,否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马,那么请先暂停诺顿的实时监控或实时扫描;
下载费尔木马强力清除助手 ;
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll,那么这时就输入它;
按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室,建议点“是”表示同意。接着程序会继续提示是否确定要清除它,仍然选“是”;
之后,如果此木马被成功清除程序会提示成功;或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”,这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件,其中会包含这个木马的样本文件,如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。
最后,如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑,在电脑重启后这个木马应该就被清除掉了。
也有稍顽固的木马,你可以进入DOS彻底删除!
对木马
用Spy Sweeper杀,也可以监控
下载地址:
注册码SSDC-OPEN-AAAA-KJEA-PZAK
马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开
0条大神的评论