本文目录一览:
什么是特洛伊木马病毒!如果电脑中了特洛伊木马病毒,能否修复.
丁香鱼有专杀进木马防护
特洛伊木马完全解析
一位客户的PC出现了奇怪的症状,速度变慢,CD-ROM托盘毫无规律地进进出出,从来没有见过的错误信息,屏幕图像翻转,等等。我切断了他的Internet连接,然后按照对付恶意软件的标准步骤执行检查,终于找出了罪魁祸首:两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice,还有一个是不太常见的The Thing。在这次事件中,攻击者似乎是个小孩,他只想搞些恶作剧,让别人上不了网,或者交换一些色情资料,但没有什么更危险的举动。如果攻击者有其他更危险的目标,那么他可能已经从客户的机器及其网络上窃得许多机密资料了。
特洛伊木马比任何其他恶意代码都要危险,要保障安全,最好的办法就是熟悉特洛伊木马的类型、工作原理,掌握如何检测和预防这些不怀好意的代码。
一、初识特洛伊木马
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。
二、极度危险的恶意程序
对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在,但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,例如,经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具,用户所有的磁盘空间几乎都被侵占殆尽,但除此之外,特洛伊木马还有其独一无二的特点——窃取内容,远程控制——这使得它们成为最危险的恶意软件。
首先,特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风,特洛伊木马能够窃听谈话内容。如果PC带有摄像头,许多特洛伊木马能够把它打开,捕获视频内容——在恶意代码的世界中,目前还没有比特洛伊木马更威胁用户隐私的,凡是你在PC前所说、所做的一切,都有可能被记录。
一些特洛伊木马带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门,即使木马后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。
其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,当然还可以利用被侵占的机器攻击其他机器。二年前,一个家庭用户请我帮忙,要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址,而且在他的浏览器缓冲区中,我也找到了该笔有争议的交易的痕迹。另外,我还找到了SubSeven(即Backdoor_G)特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关,但可以看出交易发生之时特洛伊木马正处于活动状态。
三、特洛伊木马的类型
常见的特洛伊木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面,所以这些特洛伊木马的体积也往往较大,通常达到100 KB至300 KB,相对而言,要把它们安装到用户机器上而不引起任何人注意的难度也较大。
对于功能比较单一的特洛伊木马,攻击者会力图使它保持较小的体积,通常是10 KB到30 KB,以便快速激活而不引起注意。这些木马通常作为键记录器使用,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常,这些微型的木马只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。
随便找一个Internet搜索网站,搜索一下关键词Remote Access Trojan,很快就可以得到数百种特洛伊木马——种类如此繁多,以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列,每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头,它不仅有一个可编程的API,还有许多其他新型的功能,令许多正规的远程控制软件也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)发行,希望能够吸引一批正规用户,以此与老牌的远程控制软件如pcAnywhere展开竞争。
但是,它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得较好,在Windows NT机器上则略逊一筹)、密码、插件等。
Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个软件开发工具包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。
■ SubSeven
SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。
SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计算机,等等。
SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。
四、检测和清除特洛伊木马
如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐,那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马是系统管理员的首要任务。
要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几年的成功已经证明了它的效果。
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。
大多数操作系统,当然包括Windows,都带有检测IP网络状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口有一定的了解)。
显示了一次Netstat检测的例子,检测结果表明一个Back Orifice使用的端口(即31337)已经被激活,木马客户程序使用的是远程机器(ROGERLAP)上的1216端口。除了已知的木马常用端口之外,另外还要特别留意未知的FTP服务器(端口21)和Web服务器(端口80)。
但是,Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接,必须使用端口枚举工具,例如,Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛伊木马,也能够建立程序与端口的联系。另外,Windows XP的Netstat工具提供了一个新的-o选项,能够显示出正在使用端口的程序或服务的进程标识符(PID),有了PID,用任务管理器就可以方便地根据PID找到对应的程序。
如果手头没有端口枚举工具,无法快速找出幕后肇事者的真正身份,请按照下列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下特洛伊木马尚未装入内存。接下来,分别运行各个前面找出的有疑问的程序,每次运行一个,分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接,那就要特别小心了。深入研究一下所有可疑的程序,删除所有不能信任的软件。
Netstat命令和端口枚举工具非常适合于检测一台机器,但如果要检测的是整个网络,又该怎么办?大多数入侵检测系统(Intrusion Detection System,IDS)都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可识别的特殊数据结构,特洛伊木马数据包也一样。只要正确配置和经常更新IDS,它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见,了解常见的源代码开放IDS工具。
五、处理遗留问题
检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,那么攻击者利用该木马可能已经有相当长的时间了。
其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗?攻击者获取管理员权限了吗?仔细检查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外?
在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合,最好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)。
在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.
在家上网 偶尔中了木马病毒 网游和QQ的帐号密码会被盗吗?
有被盗的可能,木马有很多种,有的专门盗取游戏帐号,有的盗取QQ帐号,还有的木马可以把你的电脑变成肉鸡,但是不管你中的木马是否会盗你的帐号都要清除该木马,因为那必定不是什么善意的程序.
建议:下载清除木马的软件,清除后立即更换你的网游或QQ等系列密码
1、什么是木马?
荷马史诗中描述一位名为Hellen的希腊皇后被风流倜傥的特洛伊王国的王子巴德里诱骗回国,于是希腊国王派兵攻打特洛伊城,此番战争打了十年,却始终无法攻陷特洛伊城,于是想出一条计策,制作一匹大木马,里面藏满全副武装的士兵,留下木马后徉装撤退,特洛伊人果然上当,以为希腊人已退兵,当晚就便把木马拉进城中,打算来一个欢天喜地的庆功宴。谁知,就在大家兴高采烈喝酒庆功之际,木马中的精锐部队早已暗中打开城门,一举来了个里应外合的大抢攻!顿时,一个美丽的城市变成了一堆瓦砾、焦土、毁灭于历史中……。此即著名的特洛伊战争,也就是木马屠城记,亦称特洛伊木马(Trojan Horse)的典故。
我们所要谈的当然不是这个希腊故事,但我们要谈的木马(也称“特洛伊木马”),原理跟这个故事差不多(所以称之为木马啦!)。所谓的木马程序其实就是一种远程控制程序,它会有一个Client(客户)端程序(由发木马的人控制),一个Server(服务器)端程序给不明真相者运行,只要同时在线就能通过Client端程序来控制对方的计算机。其做法也就是首先把木马伪装成有用的程序,通过和其他应用程序(比如外挂)结合,或是和图片、声音结合,然后诱惑你下载或直接寄给你,当你运行后,木马就会在每次开机时自动运行,对方就通过木马在你电脑中打开的一个秘密端口(port)用Client端连上你的电脑。
2、木马不是病毒
木马和病毒的根本区别是木马程序没有复制能力,而病毒会复制、传染。木马入侵后会地为你修改注册表、放置后门程序(也就是打开一个port)、开机驻入内存,但是不会马上发作,电脑也依旧平静如初,然而是一颗随时可能引爆的炸弹。
4、木马的功能与作用
不管以前你认为木马有多么神秘,其实木马程序就是一个网络上的Client/Server的概念。以下简单介绍一些木马程序的功能:
1、远程监控
可以控制对方的鼠标、键盘和监视对方屏幕。
2、记录密码
至于如何记录,下面再具体解释。
3、取得电脑主机的信息资料
如果你在电脑用户账户填上真名的话,对方就可能知道你的姓名了。
4、远程控制
也就是你能做到的,对方也能做到。
5、发送信息
要是对方哪天想和你聊聊的话。
5、木马是如何盗号的
当用户登陆到九城的服务器时,会有一个专门的程序负责用户登陆并向服务器发送确认ID的请求(具体在哪个文件我不知道),显然,在这个程序中包含了用户账号密码的资料,那么,针对为盗取MU用户ID而设计的木马程序先会截取这个文件,再由木马程序来显示那个登陆界面,等你输入了帐号密码后,HOHO~~,木马就偷到了,然后按照入侵者的指定存放在某个目录下(可见,仅仅阻止非法邮件发送还是防不胜防的),或者直接寄回给入侵者(目前此法较多,大家可以通过禁用stmp端口??负责发送邮件的port来防范)。
6、木马如何进入我们的电脑
小偷要到你家偷东西,一般不会走正门,而是选择通过阳台、窗户进入。这里的“正门”指你电脑的IP地址,“阳台、窗户”就是电脑上网开启网络服务的端口(port)。如果把网络形容为道路的话,端口就相当于路上的各条行车道,有的走汽车,有的走自行车,有的只能行人,这样网路上运行的有秩序,不会乱。那么除了我们常用的http、stmp、pop3、ftp等服务端口,电脑“黑客”会通过木马直接在你的电脑上放置一个后门程序(Backdoor),只要你运行了这个程序,你的电脑已经是为“黑客”开启了一道大门。于是,他就可以通过这个大门大摇大摆地进来。
7、如何检查和清除木马?
并不是所有的木马程序都能被杀毒软件检测到,即使是扫除木马的工具也只能扫除一些常见的木马而已,最主要的防止方法就是预防。对于MU玩家来说,就是要格外小心外挂程序,因为许多外挂程序都藏匿了木马。避开木马的最好方法就是不用外挂。
另外,还要注意以下几点:
1.小心exe文件
小心一些扩展名为.exe的文件(最好解除隐藏扩展名的设置,方法为:在资源管理器中选择“查看”选项,解除隐藏扩展名的设置),因为木马程序的扩展名一定是“.exe”。
2.用netstat -a来查看端口
端口是木马的生命之源,没有端口它就无法和外界通信,更不要说远程控制了。先切换到MS-DOS方式,在C:提示符后键入netstat -a就可以将当前电脑中所有连接端口的情况列出,如果发现有异常的端口开启,就很有可能是一个“后门”。
3.检查注册表和系统文件
由于木马有开机后自动运行的特性,而自动运行就必须在系统中作一些更改,这些更改一般在注册表和系统文件中可以发现。检查Registry-Run,“开始”→“运行”,键入regedit,进入注册表编辑器,到HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun中查看是否有不应该自动运行的程序,有的话就要删除那些字符串,木马程序就不能自动运行了。
检查Win.ini,用记事本打开C:Windowswin.ini这个文件。其中“load= run=”后都应为空,如果有run=xxxx.exe,就尽快删除它们。
检查system.ini,用记事本打开C:Windowssystem.ini。检查shell=Explorer.exe后有没有xxx.exe,有的话就很可能是木马,删!
4.通过一些防木马软件比较有名的防护程序有:Tauscan,Lockdown2000,Pview,NetSentry等等,大家看着用吧
网上银行的木马病毒有哪些
1. 网络游戏木马
随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取
特洛伊木马病毒用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2. 网银木马
网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3. 即时通讯软件木马
现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:
a、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。
b、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。
c、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
4. 网页点击类木马
网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。
5. 下载类木马
这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。
6. 代理类木马
用户感染代理类木马后,会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
首先找到感染文件,其手动方法是结束相关进程然后删除文件,但是现在有很多木马专杀的软件.可以借助软件删除。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
木马病毒的危害:
1、盗取我们的网游账号,威胁我们的虚拟财产的安全。
木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息,威胁我们的真实财产的安全。
木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份,传播木马病毒。
中了此类木马病毒后,可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。
4、给我们的电脑打开后门,使我们的电脑可能被黑客控制。
如灰鸽子木马等。当我们中了此类木马后,我们的电脑就可能沦为肉鸡,成为黑客手中的工具。
特洛伊木马病毒专杀
我推荐你几款(为了找辛苦啊)
《木马杀客》
木马杀客是本站原创的反木马工具,软件采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、QQ尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能,木马感染内存及修改注册表启动等都将被监控查杀。软件支持在线升级。
《Windows木马清道夫》
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品。《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰!还不快把这位安全防卫专家请进您的电脑,您还在犹豫什么?
功能:性能信息,进程信息,模块信息,窗体信息,后台服务,程序卸载,扫描内存,扫描启动程序,扫描硬盘,扫描注册表,扫描可疑模块,扫描系统漏洞,扫描本地端口,清理内存,查看网络监视,查看共享目录,查看用户和组,监视IE,备份注册表,升级木马库,IE插件管理,IE相关设置,IE历史记录清理,IE缓存清理,COOKIE清理。。。
V2.1修正了算法上的几处BUG,使程序更稳定的运行,升级了新的木马库,查杀木马数量更多
V2.2优化了部分代码,修正了一处BUG,增加了NT管道查看功能,并增加了反馈留言系统。
V2.3修正了BUG,增加了木马库版本的显示。
V2.4修正了已知的所有BUG,增加了CPU的实时测速功能。
V2.5支持所有的操作系统98/me/2000/XP/2003,并增加了函数接口,软件便于扩展插件。
V2.6新增网络优化,环境变量查看,并升级了木马库,优化了部分代码。
V2.7增加所有显示列表的保存功能,修正了一处BUG。
V2.8修正了有些木马不能清除的BUG,增加了IE加载组件的管理,增加了列举网络服务提供者的功能,添加了一个传奇密码大盗exp1orer.exe木马专杀的插件。
V2.9增加了探测隐藏进程的功能,可探测出未知的木马。添加了灰鸽子最新木马及灰鸽子所有变种的专杀插件。升级了木马库。修改了几处界面上的小问题。
V3.0修改了扫描可疑模块的算法,使扫描速度更快,准确率更高。
V3.1修正了扫描硬盘算法上的一个小BUG,修正了在win98下的一处兼容性BUG。升级了木马库。
V3.2修正了用户和组的一个BUG,优化了部分代码!
V4.0一次大的升级,采用扫描新引擎配合老引擎使用,查杀面更广,准确性更高!新引擎采用了很多新技术和新算法,稳定性有很大提高!而且采用强劲的注册表扫描引擎,使木马病毒无处藏身!另外,新版本木马清道夫,为了保证软件的正常运行,采用了HOOK技术,使进程不会被木马病毒轻易终止,使系统更加安全!新版本增加了可疑模块和可疑文件的提交功能,让我们的反木马病毒专家为您分析,查杀最新的未知木马病毒刻不容缓!
V4.1增加按钮的即时帮助。修正新引擎扫描算法上的一处BUG。
V4.2修复了主程序注册表算法上的一个BUG,优化了扫描硬盘的代码,扩充了木马病毒库!
V4.3为了保证软件的正常运行,采用HOOK技术保证窗体不会被木马病毒轻易终止。扩充了木马病毒特征码库!
V4.4修正了hook上的一处错误,升级了木马病毒库!
V4.5修正了在Win98下的一处BUG,升级了木马病毒库!
V4.6修正了4.5版本的一处严重的算法错误!
V4.7重写了扫描硬盘特征码引擎的算法,速度提高数倍,而且只耗较少的CPU资源,更稳定更准确更速度!
V4.8修正了扫描硬盘文件定位引擎的算法,新增IE已安装签名插件的管理工具!
V4.8(Build 144)修正了注册表搜索引擎的BUG,对顽固性木马有了更强的查杀能力!
V4.9紧急更改了可疑模块上报的服务器地址,修正了一个BUG!
V5.0修正了一个程序BUG,增加了一个插件,添加了程序的卸载功能,扩充了木马病毒库!
V5.1修改了部分界面,修正了在Win98下的一处错误,优化了部分程序代码!
V6.0一次大的升级。附带超强大的木马防火墙,实时保护您的系统及网络,并嵌入系统底层,任何可疑程序想要启动都要经过木马防火墙的确认!采用各种最新技术,不占CPU负荷,不影响系统速度,给您的系统穿上真正的保护装,使其更稳定,更安全!3层防护技术,让木马彻底远离您的电脑!
v6.1增加了木马防火墙的节能功能!新增一台升级服务器,并对软件升级功能进行了改进,使升级稳定!
v6.2运用的嵌入COM技术,嵌入到Windows的右键菜单,支持文件单选和多选,文件和文件夹混选的指定查杀!并且支持压缩包内木马的查杀,如RAR,ZIP,CAB等。继续优化的扫描算法,使速度更快,准确率更高。
v6.3解决了与某些杀毒软件的冲突及蓝屏问题!修正了扫描引擎的算法上的一处BUG!对fygAddins.exe被其他杀毒软件误报问题进行了解决,重写了这个命令行的辅助程序,解决了98下非法操作的问题!
v6.4对木马防火墙进行了改进,修正了木马防火墙声音提示的BUG,增加窗口提示的可选项,并增加重新载入木马库功能,使升级木马库后不用再重新打开木马防火墙,只需点重新载入木马库即可!优化了木马清道夫的一些代码,使程序运行更顺畅!
V6.4修正版修正了木马防火墙出现的“Invalid data type for flag”错误,对托盘图标菜单进行了改进,增加了网络监视功能的规则过滤IP规则。对木马清道夫的代码进行了小的优化!
V6.5增加了非常安全自动化的垃圾文件清理的功能。增加了木马防火墙的系统保护功能,并修正了木马防火墙主动升级上的一个BUG。
V6.6增加了顽固文件的删除功能,增加了NT系统下虚拟DOS启动盘功能。
V7.0为保护正版用户的利益,更改了加密算法,更改了注册方式,取消了机器码注册模式。解决了软件的部分兼容性问题和在某些电脑上不能正常升级的问题!
V7.1主要修正了上一版的一个错误。兼容了以前的注册算法。增加了特征码引擎的扫描硬盘的选择所有分区的功能。
V7.2对部分算法进行了改进,扫描速度和清除速度有了提升!修正了几处小的BUG!增加了注册表清理的功能(清理注册表垃圾速度快,而且非常安全),增加了虚拟磁盘的功能。增加了木马防火墙的自身保护功能,可防止木马病毒非法终止或删除程序。
V7.3修正了一个严重的BUG。再次对部分算法的细节部分进行了修正!对升级功能的进行了改进!对程序界面进行了美化!
V7.3(改进版)对查杀引擎进行了改进,使查杀能力更强!对菜单在个别机器显示的问题进行了修正!并修正了一个BUG!
V8.0(全新的木马防火墙实时监控)可监控从网络下载的文件(支持所有的下载工具),QQ或其他聊天工具文件传输的文件,压缩包正在解压的文件,安装包正在安装的文件 等等 只要是有木马病毒在硬盘里生成,在它还没有运行就第一时间报警并自动清除!最主要的是他占用系统资源少,基本不会影响系统速度,占用极少的CPU资源!(自动智能升级) 您再也不用为每天手动升级而麻烦了!全新的自动升级,自动在后台升级,并自动载入! 而且能自动选择较快的服务器,还支持http代理升级!这一切,您完全不用点一下鼠标或键盘!(木马防火墙的文件行为监控) 重新优化并改进文件监控算法,占用零CPU,更快更准!(木马防火墙嵌入式行为分析) 改进的文件拦截的算法,对可疑文件拦截的准确性有所提高!(木马清道夫后台服务功能) 增加了木马清道夫删除后台服务的功能!在有些木马被清除后,重新启动会弹出缺少什么DLL,或者什么服务启动失败的对话框!很是烦人!现在好了,您可以打开木马清道夫的后台服务功能,将对话框提示的文件,对应的服务删除,即可解决!(木马清道夫所有显示列表的保存功能)木马清道夫现在几乎所有的显示列表都可以保存为TXT文本!方便他人为您分析或研究!(解决部分兼容性问题) 解决木马防火墙在XP下导致不能关机,或关机缓慢的问题!
V8.2最稳定的版本,修正了大多数已知的BUG,修改了扫描引擎,速度更快!重新改写了各种监控引擎,占用系统资源更少,更稳定!附带超强大的木马防火墙4.0,对实时监控进行了修正改进,增加了强大的网络程序规则功能,任何程序想要访问网络都必须经过木马防火墙的确认!增加了密码伪装保护功能,让所有盗密木马全部失效,该功能嵌入系统底层进行保护,任何盗密木马只要窃取您的密码,木马防火墙会在第一时间进行拦截,并返回伪装码给它。让您真正做到安心上网,您的密码从此100%的安全,彻底远离被盗的危险。全新的嵌入式行为分析,智能判断可疑文件,将木马病毒从底层处理掉,让木马病毒彻底失去感染您系统的机会!增加了木马防火墙的口令锁定功能。总的来说,现在木马清道夫采用六层保护技术,1.内存监控和实时监控 2.强大高速准确的硬盘扫描引擎 3.文件行为智能分析 4.网络规则监控与拦截 5.底层密码伪装保护 6.自身进程防删保护。六层的严密保护,让木马真正成为您系统的手下败将,斩杀于您的鼠标下。
V8.3解决部分冲突和兼容性问题,解决内存错误问题。对自动智能升级进行了改进,采用压缩传输,下载速度比以前更稳定更快,解决升级过程假死问题。
V8.4修正木马清道夫主程序一处BUG。继续修正木马防火墙内存错误的BUG,及再次改进密码伪装保护。增加扫描硬盘完毕后自动关机的功能。
V8.5木马防火墙监控引擎进行改进,解决与部分游戏冲突问题。改进特征码扫描硬盘功能,增加目录树与文件树多项选择功能,并对细节问题进行了改进。改进文件定位扫描引擎,速度更快更流畅!
V8.6 对扫描和监控引擎的代码进行了大量的优化与精简,解决了与某些程序不兼容的问题。对查杀引擎进行了重写,查杀率更高,查杀效果更好。对部分代码进行了封装处理,程序运行效率更高!对扫描硬盘的目录树的类,进行了重写,解决了上版本目录树缓慢读取并占用大量CPU资源的问题。增加了木马清道夫主程序密码设置的功能。
V8.7 继续优化代码。修复在个别电脑上清除木马病毒时会出错的错误。对扫描引擎进行了扩展,可查杀ASP、PHP、CGI等木马后门,这个功能可以说对服务器用户是一个福音!对注册表清理功能进行了改进,可清理更多注册表垃圾!对COM组件系统菜单Commenu.dll进行了改进,支持的右键菜单更多,更智能化,更方便。对木马防火墙进行了细微的改进,兼容性更上一层楼!改进了强大的顽固木马清除工具DOS版(Fygsoft Trojan Cleaner Kill Tools Boot With DOS Mode),借助本软件自带的虚拟DOS启动盘,支持在FAT,FAT16,FAT32,NTFS所有的磁盘格式下,直接引导进入DOS版木马清除工具,可以说现在木马清道夫对木马的清除率达到了100%。
V8.8 修正木马防火墙清除内存木马中的BUG。修正木马防火墙右小角系统托盘图标消失的问题。对木马防火墙进行了微小改进。增加扫描硬盘图标模式的一个选项。
V8.9 修正了对压缩包扫描算法中的BUG。对查杀引擎进行了细微改进。对漏洞扫描进行的少许改进。对木马防火墙进行了一些优化和改进,使其更稳定。解决了个别游戏兼容性问题。对注册算法进行了改进,老用户升级后,请用这种格式的注册码XXXX-XXXXX-XXXX-XXXX重新进行激活。
V9.0 彻底解决与网络游戏兼容问题。解决清除木马无响应的问题。增加木马防火墙的换肤功能!并提供多个皮肤文件更换!
V9.1 对木马防火墙进行了优化。创新出了对可移动磁盘(闪存,U盘,MP3等)的自动检测和实时监控功能。增加了木马防火墙对内存可疑数据的监测功能!增加了木马防火墙文件行为监控的过滤功能!增加了木马清除引擎的快速清除功能,对清除木马时无响应或者时间过长的用户,可选择这个功能。解决了密码伪装保护与支付宝的兼容性问题。
V9.2 修正了木马防火墙几个严重的BUG!增加系统托盘菜单的一项当插入可移动磁盘后的安全停用设备的功能。
V9.3 修正了扫描引擎压缩包算法的一个严重的BUG。对引擎进行小量的优化,使其清除木马病毒的速度有了一定的加快。修正了木马清道夫若干个小BUG。
V9.4 修正木马清道夫一处小的BUG。增加木马防火墙在离开状态自动扫描的功能。
V9.5 针对部分破坏网络造成无法上网的木马病毒、广告间谍等,实现了彻底查杀并且提供了恢复网络的功能。
V9.6 为了针对一些流氓软件和木马病毒对木马清道夫进行恶意破坏,导致木马清道夫打不开或弹出各种错误。此版本带有智能自动检测修复还原功能,可防止任何恶意程序对木马清道夫进行非法修改或破坏,从而保证了软件的正常运行。另外此版本增加了对流氓软件检测和卸载的功能,并可以对流氓软件数据库进行升级。还有就是对程序内部进行了小的优化处理,使程序稳定性更高,更人性化。
V9.7 修正上一版的几处小的BUG。增加对使用ROOTKIT技术的木马进行检测功能,增强了探测隐藏进程。优化木马清道夫和木马防火墙的部分核心代码,使其更稳定。增加木马防火墙的定时扫描和定时关机功能。增强了木马防火墙上的快捷菜单。修正了木马清道夫和木马防火墙在Windows2003下的所有问题。完全兼容所有操作系统。
V9.8 对查杀引擎进行了优化,增强了反Rootkit技术,查杀能力有了质的提高。
V9.9 2007的第一版,重写了可疑模块探测功能,探测更全面更彻底。并且提供了专用的双线上报服务器,速度更快。增加了自动修复host的功能。木马防火墙增加了专业的启动界面。对扫描内存进行了优化,增加了记忆功能,扫描速度更快,占用资源更少,设置成自启动后,每次开机木马防火墙启动会快很多。2007版计划在下几个版本内,推出美化简洁版,更适用一些电脑初学者。
2007年全新发布 V10.0 界面进行美化,并分为简洁界面和专业界面!全面优化木马防火墙内核 性能提升30%! 速度更快,监控更准!增加IE漏洞防御,可防止99%的未知木马从网页入侵!增加OFFICE漏洞防御,可防止99%的未知木马通过OFFICE漏洞入侵!增加对隐藏文件的拦截功能!增加拦截自动运行类病毒行为,可防止一切木马病毒从U盘或MP3感染计算机!增加恶意网站拦截,反钓鱼等功能,全新设计,不占系统资源,直接嵌入IE进行分析处理。全新的漏洞扫描功能,扫描更全面!全新的可疑模块探测功能,对未知木马的探测率更高!全面支持Windows VISTA微软最新操作系统!
游戏王特洛伊木马密码是多少
英文名:Monster Reincarnation 日文名:死者転生 中文名:死者转生 罕贵度:面闪SR,立体UTR 卡种:普通魔法 所在卡包:YSD-1,EE 3,RDS(402),YSD-3 效果:丢弃1张手卡。我方墓地存在的1张怪兽卡回到手卡。 八位密码:74848038
我的电脑之前中了病毒,特洛伊木马,请问它会盗取到我的宽带上网的帐号和密码吗?还有要如何修改上网密码
木马不仅会偷取您的上网账号密码,也有可能盗取QQ、网银、游戏的账号密码。建议您安装瑞星杀毒软件V16版本升级到最新病毒库后,重启计算机按F8键选择安全模式,进行全盘病毒扫描查杀,下载地址:
之后拨打宽带提供商热线电话,咨询客服如何修改密码。