本文目录一览:
-
2、特洛伊木马病毒
什么是特洛伊木马病毒
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
特洛伊木马病毒
病毒名称:
Trojan-PSW.Win32.OnLineGames.jbo
病毒类型:
木马类
文件
MD5:
1B414FF11AD77F8D2C1740AECFDD5E0A
公开范围:
完全公开
危害等级:
3
文件长度:
17,408
字节
感染系统:
Windows98以上版本
工具:
Microsoft
Visual
C++
6.0
加壳类型:无
二、病毒描述:
该病毒为木马类,病毒运行后,复制自身到系统目录下,病毒文件,以批处理文件删除自身。
添加启动项,以达到随机启动的目的。该病毒由于已出现大量的生成机,因此生成一个同种病毒特别容易,这也使其大量的被生成,再加互联网的快速传播,使其在中国大陆已形成了一个木马分支――网游盗号木马类;可以盗取用户帐号
号与密码。
三、行为分析:
1、
文件运行后会释放以下文件
%WINDIR%\cmdbcs.exe
%system32%\cmdbcs.dll
2、
新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值:"
cmdbcs
类型:
REG_SZ
值:
C:\WINDOWS\cmdbcs.exe
描述:添加启动项,以达到随机启动的目的
3、释放cmdbcs.dll进驻内存,尝试插入下列进程中:
EXPLORER.EXE
IEXPLORER.EXE
应用程序进程
4、cmdbcs.dll插入进程后可以访问该进程资源,记录该进程中的敏感资料;例如帐号与密码
5、检测窗口标题为AVP的窗体,瑞星的警告窗体,如果检测到则关闭。当病毒添加注册表启动项时,如果弹出瑞星注册表监控,则自动允许并关闭监控窗体。具有反查杀能力。
注释:
%Windir%
WINDODWS所在目录
%DriveLetter%
逻辑驱动器根目录
%ProgramFiles%系统程序默认安装目录
%HomeDrive%
当前启动系统所在分区
%Documents
and
Settings%
当前用户文档根目录
%Temp%
当前用户TEMP缓存变量;路径为:
%Documents
and
Settings%\当前用户\Local
Settings\Temp
%System32%
是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:
2、手工清除请按照行为
分析除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址:
或
(1)
使用安天木马防线或ATool中的“进程管理”关闭病毒进程
强行卸载cmdbcs.dll
(2)
强行删除病毒文件
%WINDIR%\cmdbcs.exe
%system32%\cmdbcs.dll
(3)
恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值:"
cmdbcs
类型:
REG_SZ
值:
C:\WINDOWS\cmdbcs.exe
特洛伊木马病毒怎么删除?
特洛伊木马恶意软件是典型的网络病毒,通过隐蔽的方式进入到目标主机,对目标主机中的重要信息进行收集或者破坏,不同类型的特洛伊木马会有不同的行为,根据这些不同的行为,可以对特洛伊木马病毒进行一些分类,今天小编就带来特洛伊木马病毒的种类分析。
第一类:远程访问的特洛伊木马
这种木马允许未经授权的远程访问,允许黑客访问目标主机并进行操作,黑客可以通过此木马进行几乎所有的操作,包括一些窃取密码数据,修改文件,随意运行修改目标主机中的软件等等。
第二类:数据发送的特洛伊木马
这种木马为攻击者发送一些敏感的数据,比如密码等等,在目标主机中也是有针对性地寻找数据,该类的木马一旦被触发,就会自动搜索目标主机的内存,缓存,临时文件夹等等中的密码文件,然后发送给攻击者。
第三类:破坏性的特洛伊木马
这种类型的木马会损坏或者删除目标主机中的文件,主要是以破坏为目的,导致目标主机系统崩溃,不过这类的木马的触发机制也是黑客设置的,传播能力并不强。
第四类:代理的特洛伊木马
这种木马将目标主机作为黑客发动攻击的媒介,或者执行其他的一些违法的操作,并且这类的木马还会让目标主机自动下载编写者设置好的网络恶意软件。下载的恶意软件可能会窃取目标主机的数据,同样也可以下载木马来帮助黑客达到攻击其他主机的目的。
第五类:FTP特洛伊木马
这种木马主要占用的是目标主机的21端口,也就是FTP服务常用的端口,黑客是未经授权的在目标主机上进行文件传输,简单来讲就是将目标主机里的文件隐秘的发给黑客。
第六类:安全软件禁用程序的特洛伊木马
这类的木马会阻止目标主机防病毒程序或者防火墙的正常工作,达到目标主机无法识别清楚病毒攻击的目的。
第七类:DDos攻击的特洛伊木马
这类的木马会减慢或者暂停目标主机的网络活动,通过侵占网络资源来影响目标主机提供给用户正常的服务。DDoS攻击也就是拒绝服务攻击,影响目标主机原来正常运行的服务,让目标主机服务运行缓慢或者无法运行。
以上是特洛伊木马的种类分类,但现实情况下的网络攻击,恶意软件往往会是几种类型的融合,而不是单一类型出现,而且现在恶意软件也越来越复杂,所以在进行网络安全防护的时候,需要根据多方面进行防护策略。