本文目录一览:
-
6、什么是木马病毒?
关于电脑病毒的代号
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
Trojan是什么病毒?
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
谁能给个 所有病毒 木马 的名称
一 木马的种类: PQ'k{
1破坏型 / qE2YeAv
zB2EnbQ,
惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件 b ,::S
0BzV}`2
2、密码发送型 DXNF2^1.A
hK@i j
可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。 |#3}%4x
4n!+s 8[
3、远程访问型 v-cO 2 r
E~ty@
最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。 #C*a@q3
uLZ U|\r
#5EP#? mf)
4.键盘记录木马 O3Ar' 2+
[bHxkb/k%-
这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。 9N$iht"\
^ab r$.
:-mya
5.DoS攻击木马 :\S;K[GBX
_ %}K1*
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。 Q,} pf
()p`}w(
SX(n+( c
6.代理木马 BF7U.'b@w
gs5XU3UZ0
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹 c QUsF9F|
opS~u:
wQ1qYmh
7.FTP木马 HFq XaRo"
8mq9; |qh
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。 % /V)% %6
lHpM^T!p?
8.程序杀手木马 ]|8mm|
*y5 3~h
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用 %V]X4w
,a+T2Oc
];+oPY6
9.反弹端口型木马 PCP'Fsc)(
Wr3%)ys;'
木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。 {)QOg-0
WW#e5}?gG
bo*N
二: DLGa8}MM2}
1开机磁区病毒 5jnH-`sP
|c*, T
2档案型病毒 FTx,
uq{}E]u
3巨集病毒 |rT! 64
jX$@.%jZp
4其他新种类的病毒 | ,~BEC1
@ *$D-c T
8{jjZP~c
y$u!-
u4f i07_
^ hx 9
三: Mf#Y!-r
5DnjD
6J=%!"z'~i
1计算机病毒名称 0ZEo$=
m=Z\ua3
` slYw
冲击波(WORM_MSBlast.A) 1| 6%
W97M_Etkill(宏病毒) iI7 2,SM/N
捣毁者(W97M_ TRASHER.D) s$|"Kw#K"
W =;lU/@
.......等等........... 5w8+^/"BG
(sUCCZ+\
nEX? mCq-F
2木马病毒 4ZV_=:N
木马病毒的前缀是:Trojan W?1tgT}
如Q尾巴:Trojan.QQPSW b"Um9p@M
网络游戏木马:Trojan.StartPage.FH等 V,+ $fzR!
!+=P#$
}Es)u$%I
3脚本病毒 h-CC5PcS
脚本病毒的前缀是:Script vxy gw1+Ru
如:红色代码Script.Redlof y T-u47X
)ImR18
M-![;wXy
4系统病毒 W ? s_
系统病毒的前缀为:Win32、PE、Win95、W32、W95等 }#X]GRA`b
如以前有名的CIH病毒就属于系统病毒 WGG#H~
E cF86i
c@N.Yk N
5宏病毒 |q7g+;m
宏病毒的前缀是:Macro,第二前缀有Word、Word97、Excel、Excel97等 8boAly\
如以前著名的美丽莎病毒Macro.Melissa。 "tR CN
}*k]cc:
KvG=]Ljv{
6蠕虫病毒 Q_ZBR{9e
蠕虫病毒的前缀是:Worm O|;j_}1J
大家比较熟悉的这类病毒有冲击波、震荡波等 tvE$A /s
{lnneNp/I
,.Z6unf
7捆绑机病毒 g0tT N
捆绑机病毒的前缀是:Binder VLh%$O_2
如系统杀手Binder.killsys Wdg ._Y
hYLtLV
8后门病毒 /9 Lu
后门病毒的前缀是:Backdoor :Od G=CF
如爱情后门病毒Worm.Lovgate.a/b/c !dnxlS.Q
":fy F_x
L2S=u[YK
9坏性程序病毒 W^W8HXID
破坏性程序病毒的前缀是:Harm -n68J_i^Jp
格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 UnVcfJn/C
UF@y3C|"
nU*{2 S
10玩笑病毒 Q M2c,
玩笑病毒的前缀是:Joke pT* HVtD]
如:女鬼(Joke.Girlghost)病毒。 Vh WnDEl
R|c74VjL
Ml(CFh k@!
常见木马名称: 2KrW1\)?V^
~'Tr]jTg3
Mbbmanager.exe → 聪明基因 9$mZbD@,
_.exe → Tryit Mdm.exe → Doly 1.6-1.7 S) F7T5^
Aboutagirl.exe → 初恋情人 Microsoft.exe → 传奇密码使者 q@vatU(
Absr.exe → Backdoor.Autoupder Mmc.exe → 尼姆达病毒 os+t`o5H
Aplica32.exe → 将死者病毒 Mprdll.exe → Bla }Co_F
Avconsol.exe → 将死者病毒 Msabel32.exe → Cain and Abel \P.S
Avp.exe → 将死者病毒 Msblast.exe → 冲击波病毒 z =n\]$tT
Avp32.exe → 将死者病毒 Mschv.exe → Control 2Ay\U.S
Avpcc.exe → 将死者病毒 Msgsrv36.exe → Coma 0^rTUhD2
Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰 xpKR\pF
Avserve.exe → 震荡波病毒 Msgsvr16.exe → Acid Shiver T c_u~
Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson rH6TWE x
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup ]bewW~0
Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5 40_9!AJ
Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit 2000 Beta `{^LEF~QU
Cfinet32.exe → 将死者病毒 Netspy.exe → 网络精灵 VFS-.cLE
Checkdll.exe → 网络公牛 Notpa.exe → Backdoor fC0GN _
Cmctl32.exe → Back Construction Odbc.exe → Telecommando ^jE$F:C|7
Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒 6*NmF'DR
Diagcfg.exe → 广外女生 Pcx.exe → Xplorer o)xTJL@e
Dkbdll.exe → Der Spaeher Pw32.exe → 将死者病毒 ah~bW\%
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap liu+,0n
Dvldr32.exe → 口令病毒 Regscan.exe → 波特后门变种 B`S0/W{l
Esafe.exe → 将死者病毒 T → 尼姆达病毒 ""g\%i
Expiorer.exe → Acid Battery Thing.exe → Thing s-}q#j
Feweb.exe → 将死者病毒 User.exe → Schwindler Qs0r3\5
Flcss.exe → Funlove病毒 Vp32.exe → 将死者病毒 q!.l%@yK
Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒 ctgXj]
Icload95.exe → 将死者病毒 Vpm.exe → 将死者病毒 B P9$';$
Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒 yzJ{d
Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT pN=R K
Icsupp95.exe → 将死者病毒 Service.exe → Trinoo l|mP ?
Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu s.=+4Us
Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire 6G. kgPx
Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner q? m@sh#
Rundll32.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX t;M6wfM^
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) → 蓝色代码 _(:IP?
Scanrew.exe → 传奇终结者 Sysedit32.exe → SCKISS爱情森林 ZS:%/6Q
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat C^brgc
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河 c{v}peI
Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒 Uqd4V. ,
Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door e7PSV7F@.
Internet.exe → 网络神偷 Sysrunt.exe → Ripper +//D`F9/
Kernel16.exe → Transmission Scount System.exe → s**tHeap q?+/97^7
Kernel32.exe → 坏透了或冰河 System32.exe → DeepThroat 1.0 }Q~@$HhZ
Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1 wq !JS
Krn132.exe → 求职信病毒 Syswindow.exe → Trojan Cow mHW~,Fujk=
Libupdate.exe → BioNet Task_Bar.exe
Win32/Trojan.c12 是什么病毒?
你好朋友,Win32/Trojan.c12是木马病毒,查杀木马,你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了. 希望我的回答对你有帮助。
木马:TR/Agent.58792是甚木马
tr/agent 是一个特洛伊木马类型的病毒总称 tr/agent后面一般会加个.然后一个编号 就是木马的在杀毒软件的病毒库中的名称 比如:TR/Agent.AKL TR/Agent.137216.2.A 这样的 才是这个木马病的真正的名字,通常情况下是用于盗取用户帐号信息的木马病毒。
什么是木马病毒?
什么是木马- -
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等
从对基本的地方了解木马
端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--
如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 ,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--
进一步查找木马
曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。