3、关于系统幽灵木马
计算机中病毒或木马时,常见的主要症状有哪些?
计算机感染了病毒后的症状很多,其中以下10种最为常见:
(1)计算机系统运行速度明显减慢;
(2)经常无缘无故地死机或重新启动;
(3)丢失文件或文件损坏;
(4)打开某网页后弹出大量对话框;
(5)文件无法正确读取、复制或打开;
(6)以前能正常运行的软件经常发生内存不足的错误,甚至死机;
(7)出现异常对话框,要求用户输入密码;
(8)显示器屏幕出现花屏、奇怪的信息或图像;
(9)浏览器自动链接到一些陌生的网站;
(10)鼠标或键盘不受控制等。
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
急!!如何快速、干净的杀除“系统幽灵”木马病毒?
流氓软件“幽灵”档案:
名称:幽灵
行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放 23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C: Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随 Windows启动。
三大危害:
1. 破坏系统安全模式
删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
2. 阻止IceSwrod启动
阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
3. 下载大量广告程序与病毒文件
开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
专家建议:
1.网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播
2.不登陆一些不知名的小网站,以免流氓软件利用网页进行传播
3.安装正版杀毒软件或流氓软件专杀工具,并进行实时升级
系统幽灵专杀工具下载地址:
http://dl.360safe.com/killer_xtyl.exe
关于系统幽灵木马
流氓软件“幽灵”档案:
名称:幽灵
行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放 23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C: Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随 Windows启动。
三大危害:
1. 破坏系统安全模式
删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
2. 阻止IceSwrod启动
阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
3. 下载大量广告程序与病毒文件
开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
专家建议:
1.网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播
2.不登陆一些不知名的小网站,以免流氓软件利用网页进行传播
3.安装正版杀毒软件或流氓软件专杀工具,并进行实时升级
系统幽灵专杀工具下载地址:
http://dl.360safe.com/killer_xtyl.exe
电脑染上木马病毒有什么现象
电脑中毒一般并不会有明显的状态的,如果有一般就是下面的12种状态:
1.经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
2.系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
3.文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
4.经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
5.提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制,因查看的是整个网络盘的大小,其实“私人盘”上容量已用完了。
6.软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
7.出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
8.启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
9.数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。
10.键盘或鼠标无端地锁死:病毒作怪,特别要留意“木马”;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。
11.系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
12.系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。
实用电脑小常识
现代社会中,电脑已经成为人们生活和工作不可缺少的工具,但电脑也越来越成为一把“双刃剑”:它在给人们生活和工作带来方便、快捷的同时,也在悄悄地危及人们的健康,引起人的视力衰退、关节损伤、辐射伤害、头部和肩膀疼痛。据调查,常用电脑的人中感到眼睛疲劳的占83%,肩酸腰痛的占63.9%,头痛和食欲不振的则占56.1%和54.4%,还会出现自律神经失调、忧郁症、动脉硬化性精神病等。
专家指出,“电脑病”的产生主要是和人们在电脑面前的坐姿、使用方法,以及使用时间长短有关。因此,对长期使用电脑的人来说,做好防护工作非常重要。
一、坐姿正确。在操作电脑时尽可能保持自然的端坐位,将后背坐直,并保持颈部的挺直。两肩自然下垂,上臂贴近身体,手肘弯曲成90度,操作键盘或滑鼠,尽量使手腕保持水平。
二、电脑的摆放高度要合适。将电脑屏幕中心位置安装在与操作者胸部同一水平线上,最好使用可以调节高低的椅子。应有足够的空间伸放双脚,膝盖自然弯曲成90度,并维持双脚着地,不要交叉双脚,以免影响血液循环。
三、与屏幕保持恰当的距离。眼睛与电脑屏幕的距离应在40—50厘米,使双眼平视或轻度向下注视荧光屏,这样可使颈部肌肉轻松,并使眼球暴露于空气中的面积减小到最低。
四、劳逸结合。避免长时间连续操作电脑,使用电脑的时间最好是30分钟就休息一下,可到室外散步,或抬头望天,或向远处眺望,或进行10至20次伸颈和扩胸练习。
五、保持皮肤清洁。电脑荧光屏表面存在着大量静电,其积聚的灰尘可转射到脸部和手的皮肤裸露处,时间久了,易发生斑疹、色素沉着,严重者甚至会引起皮肤病变等。为减少辐射,应使办公室保持通风干爽,这样能使那些有害物质尽快排出,在电脑桌下放一盆水或是放一盆花草也可减少辐射,勤洗脸也能防止辐射波对皮肤的刺激。
六、合理膳食。平时多吃些胡萝卜、白菜、豆芽、豆腐、红枣、橘子以及牛奶、鸡蛋、动物肝脏、瘦肉等食物,少食肥甘厚味及辛辣刺激性食品,以补充人体内维生素A和蛋白质。平时可多饮些茶,茶叶中含有茶多酚等活性物质,有利于吸收与抵抗放射性物质。
最后别忘了,使用电脑后,一定要洗手。键盘上面附着着很多细菌和病毒,也会给人带来伤害。
MP3搜索发现病毒连接
最近发现了利用MP3搜索引擎木马传播的病毒。通过百度、一搜下载MP3以后,电脑都出现了中病毒的症状。一名网友说,她在百度的MP3搜索引擎上将一首MP3格式的歌曲文件下载到电脑后,运行该MP3文件时,电脑浏览器首页被改成了一个从未见过的网址,而鼠标右键也不能用了。
据反病毒专家分析后发现,这些网友通过连接所下载的并不是MP3文件,而是一个病毒文件。瑞星反病毒专家刘刚介绍说,这是一个名叫“首页变种AHK(Trojan.StartPage.ahk)”的木马病毒,感染这个病毒后浏览器会被强行修改,电脑运行变慢甚至崩溃,鼠标右键也出现异常,目前在百度和一搜的MP3搜索引擎中都发现了这个病毒。而通过MP3搜索引擎来传播病毒,这在国内还是首次发现。
由于通过MP3文件传播病毒形式更加隐蔽,专家提供了四条建议:一、计算机一定要安装杀毒软件并注意及时升级;二、上网时应打开杀毒软件的实时监控功能;三、利用杀毒软件的“漏洞扫描”弥补系统漏洞;四、从网上下载电影、音乐文件后应对其进行病毒扫描。
解决系统资源不足问题
第一种思路:
1.清除“剪贴板”
当“剪贴板”中存放的是一幅图画或大段文本时,会占用较多内存。请清除“剪贴板”中的内容,释放它占用的系统资源:单击“开始”,指向“程序”,指向“附件”,指向“系统工具”,单击“剪贴板查看程序”,然后在“编辑”菜单上,单击“删除”命令。
2.重新启动计算机
只退出程序,并不重新启动计算机,程序可能无法将占用的资源归还给系统。请重新启动计算机以释放系统资源。
3.减少自动运行的程序
如果在启动Windows时自动运行的程序太多,那么,即使重新启动计算机,也将没有足够的系统资源用于运行其他程序。设置Windows不启动过多程序:其一,单击“开始→运行”,键入“msconfig”,单击“确定”按钮,单击“启动”选卡,清除不需要自启动的程序前的复选框。其二,单击“开始→运行”,键入“sysedit”,单击“确定”按钮,删除“autoexec.bat”、“win.ini”和“config.sys”文件中不必要的自启动的程序行。然后,重新启动计算机。
4.设置虚拟内存
虚拟内存不足也会造成系统运行错误.可以在“系统属性”对话框中手动配置虚拟内存,把虚拟内存的默认位置转到可用空间大的其他磁盘分区。
5.应用程序存在Bug或毁坏
有些应用程序设计上存在Bug或者已被毁坏,运行时就可能与Windows发生冲突或争夺资源,造成系统资源不足。解决方法有二:一是升级问题软件,二是将此软件卸载,改装其他同类软件。
6.内存优化软件
不少的内存优化软件,如RAM Idle和Memo Kit都能够自动清空“剪贴板”、释放被关闭程序未释放的系统资源、对虚拟内存文件(Win386.swp)进行重新组织等,免除手工操作的麻烦,达到自动释放系统资源的目的。
第二种思路:
1.禁用一部分启动项
启动时加载过多的应用程序会使Windows因系统资源严重不足而“蓝屏”,因此我们最好运行“Msconfig”禁用一部分应用程序。或者使用Windows优化大师来代劳。
2.设置足够的虚拟内存
虚拟内存不足也会造成系统多任务运算错误,我们可以通过时常删除一些临时文件和交换文件对此问题加以解决,此外还可以在“系统属性”下手动配置虚拟内存,把虚拟内存的默认位置转到其他逻辑盘下。并设置得大一些。
3.给硬盘保留足够空间
由于Win9X运行时需要用硬盘作虚拟内存,这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言,最低应保证100MB以上的空间,否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外,硬盘的碎片太多,也容易导致“蓝屏”的出现。因此,每隔一段时间进行一次碎片整理是必要的。
4.使用内存管理软件
剩下的就是些杂项了,诸如不用activedesktop之类浪费资源的功能。使用内存管理软件,如RAM Idle之类的。养成好习惯,暂时不用的程序就将其关闭。
手机中了木马病毒幽灵推怎么办?
建议下载安装360手机急救箱,用它查杀处理手机病毒,然后重启手机就可以解决。
中了“幽灵病毒”,求有效的方法
如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了
如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。
1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以用首页——工具箱——顽固木马克星,强力查杀,效果相当不错的。
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
手机版360卫士是否能查杀幽灵锥木马病毒?
可以, 手机有病毒,可以使用腾讯手机管家杀毒,它与卡巴斯基合作推双核引擎查杀的管家安全助手,可以对您的手机进行云查杀和备用病毒库的查杀,它能够查杀大量的手机病毒,病毒库也可以自动更新,你可以直接在手机管家的界面中点防护监控,然后选择病毒查杀,最后点一下病毒扫描即可,
“空格幽灵”木马病毒造成的空格键失灵究竟是做了什么手脚?如何手动修复?还有限制关机的问题
样本信息及其dump内存文件
2.1 母体信息
文件名:YqbYbx.exe
类 型:EXE程序
大 小:52,224 字节
文件名:YqbYbx.jpg
类 型:jpg空白图片
大 小:396,445 字节
2.2 释放文件信息
文件名:twain32.dll
类 型:DLL文件
大 小:393,382 字节
路 径: %SystemRoot%\ twain32.dll
文件名:.lnk
类 型:快捷方式
大 小:424 字节
路 径:%开始菜单目录%\ .lnk 和 %我的文档目录%\ .lnk
文件名: .vbs
类 型: vbs脚本文件
大 小:139 字节
路 径:%我的文档目录%\ .lnk
2.3 内存dump文件信息
文件名:Region00E40000-00E91000.dmp
类 型:PE内存dump文件
大 小:331,776 字节
母体行为分析
3.1 母体行为概述
该母体并没有太大的危险性行为,其作用更贴切来说是作为一个Loder,作为病毒程序运行的垫脚石和对迷惑用户感官判断进行迷惑。
3.2 母体YqbYbx.exe行为分析
3.2.1 解密释放出病毒DLL文件:twain32.dll
a) 打开同文件夹下YqbYbx.jpg文件。
b) 定位到文件头偏移 0xBF7 位置处,读取 0x600A6 字节,通过简单的异解密出一个PE文件数据。
c) 将这段数据保存成一个DLL文件,路径在C:\WINDOWS\twain32.dll。
d) 利用rundll32.exe带参数 fuck007启动twain32.dll
启动格式:rundll32.exe "C:\WINDOWS\twain32.dll" fuck007
3.2.2 打开图片YqbYbx.jpg迷惑用户
a) 打开图片YqbYbx.jpg(此图片的文件已经损坏,打开是一个空白的图片)
释放文件行为分析
4.1 释放文件行为概述
释放文件有4个,一个DLL,两个个快捷方式和一个vbs程序。Vbs程序为病毒的再次启动提供多一个路径:通过快捷键启动。DLL文件就是在内存中生成病毒代码,连接远程控制服务器端,和远程控制服务器端交流信息。
4.2 twain32.dll行为分析
4.2.1 再内存进行病毒代码构造
运行的过程中,在内存分配了一个长度为 331776 字节的空间,通过大量数据解密,在这个空间里构造了一个DLL文件结构,然后跳转到这个结构中的代码来运行(已经dump出来了在压缩包中),这个DLL文件是一个远控。并且,远控服务器端域名“weiqi27890.3322.org”作为参数传递进去。
(针对远控的功能在第五章:远控功能分析)
4.3 .vbs行为分析
4.3.1 vbs脚本内容及其解析
SET objShell=Wscript.CreateObject("Wscript.Shell")
On error resume Next
iReturnCode=objShell.Run("rundll32.exe twain32.dll Run",0,TRUE)
此脚本就是利用rundll32.exe 来启动twain32.dll,其执行的时机在下面.lnk文件的分析里
4.4 .lnk行为分析
如下图,是.lnk文件的属性,可以看出,这个快捷方式可以随着空格“space”启动
远控功能分析
5.1 远控功能概述
这是一个功能比较完善的远程控制客户端,可以为服务器端提供查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。
5.2与服务器端建立连接
(1) 查询域名“weiqi27890.3322.org”的IP地址xxx
(2) 建立TCP连接到xxx地址的1234端口
(3) 建立连接后发送本机系统消息进行上线确认
(关于获取本机系统详细信息在5.3)
5.3获取本机系统详细信息
(1) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz
获得CPU的主频
(2) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString 获得CPU的型号
(3) 通过 API函数 GetSystemInfo 获得系统版本信息
(4) GetDriveTypeA 检测从A盘到Z盘是否为可用盘,若果是可用盘,
(5) GeDiskFreeSpaceExA 获得每个盘的大小和可用空间
(6) 打包成一段数据包,发送给服务器端,作为上线信号
5.4记录键盘消息
(1) 接收到服务端的键盘消息指令
(2) 通过自己建立一个键盘表(全部键盘信息)
(3) 不断循环使用API函数GetKeyState测试每个键盘是否按下
(4) 将键盘信息保存到 “病毒路径\keylog.dat” 文件中
(5) 调用文件上传功能把keylog.dat上传
(6) 删除keylog.dat
5.5远程命令行功能
(1) 接收到服务端的远程命令行指令
(2) 后台运行cmd.exe
(3) 新建一个匿名管道,绑定到cmd.exe的输入输出
(4) 通过Tcp连接发送和接收cmd命令,让控制端自由操作
5.6查看进程列表功能,结束进程功能
(1) 接收到服务端的查看进程列表的功能
(2) 利用进程系统快照遍历系统进程
(3) 发送系统快照到服务器
(4) 如果服务器要求结束某进程,先使用(SeDebugPrivilege、LookupPrivilegeValueA、AdjustTokenPrivileges获得系统的权限)再用API函数TerminateProcess结束进程,如果无法结束,则调用调用系统的taskkill.exe /f /pid %d来结束进程。
5.7 DOS攻击功能
(1) 接收到服务端的DDOS攻击指令
(2) 接收到要攻击的IP地址或网站
(3) 创建一个线程,死循环的访问对应的网站或死循环的对IP地址发出连接邀请
(4) 直到收到了结束攻击的指令,才结束刚才创建的攻击进程。
5.8使电脑无法正常关机的功能
(1) 接收到服务端的使电脑无法正常关机的指令
(2) 使用API函数PrivilegeOpera设置SeShutdownPrivilege的属性使得电脑无法正常关机。
(3) 直到收到解除指令才还原设置
5.9设置系统成为可以多用户使用的3389端口远程桌面
(1) 接收到服务器端的设置远程桌面的消息
(2) 对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
KeepRASConnections设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(3) 用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(termsrvhack.dll这是网上广为流传的用户多用户3389的DLL文件)
(3) 复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll
(4) 复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
5.12 其他功能
其他远控常见功能,如上传下载文件,远程运行文件,删除文件,清除系统记录,查看系统服务,修改IE主页等功能,不做说明。