文章大纲：

• 1、木马病毒的相关案例
• 2、谁能给我一篇木马病毒防范与查杀的论文？谢谢
• 3、写毕业论文，题目是浅谈木马病毒及其防御措施，请大家帮帮忙啊！
• 4、木马病毒
• 5、有病毒~Trojan Horse

木马病毒的相关案例

因好莱坞大片《特洛伊》而一举成名的“木马”（Trojan），在互联网时代让无数网民深受其害。无论是“ *** ”、“网银”还是“网游”的账户密码，只要与钱有关的 *** 交易，都是当下木马攻击的重灾区，用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。

No1：“支付大盗”

“支付大盗”花钱上百度首页。

2012年12月6日，一款名为“支付大盗”的新型 *** 木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”，诱骗网友下载运行木马，再暗中劫持受害者网上支付资金，把付款对象篡改为黑客账户。

No2：“新鬼影”

“新鬼影”借《江南Style》疯传。

火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR（主引导扇区）中，如果用户电脑没有开启安全软件防护，中招后无论重装系统还是格式化硬盘，都无法将其彻底清除干净。

No3：“图片大盗”

“图片大盗”更爱私密照。

绝大多数网民都有一个困惑，为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片，并筛选大小在100KB到2MB之间的文件，暗中将其发送到黑 *** 务器上，对受害者隐私造成严重危害。

No4：“浮云”

“浮云”木马震惊全国。

　盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单，却在后台执行另外一个高额定单，用户确认后，高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃

No5：“黏虫”

“黏虫”木马专盗 *** 。

　“ *** 黏虫”在2011年度就被业界评为十大高危木马之一，2012年该木马变种卷土重来，伪装成 *** 登录框窃取用户 *** 帐号及密码。值得警惕的是不法分子盗窃 *** 后，除了窃取帐号关联的虚拟财产外，还有可能假冒身份向被害者的亲友借钱。

No6：“怪鱼”

“怪鱼”木马袭击微博。

2012年十一长假刚刚结束，一种名为“怪鱼”的新型木马开始肆虐 *** 。该木马充分利用了新兴的社交 *** ，在中招电脑上自动登录受害者微博帐号，发布虚假中奖等钓鱼网站链接，绝对是2012年更具欺骗性的钓鱼攻击方式之一。

No7：“打印机木马”

“打印机木马”疯狂消耗纸张。

2012年6月，号称史上最不环保的“打印机木马”（Trojan.Milicenso）现身，美国、印度、北欧等地区大批企业电脑中招，导致数千台打印机疯狂打印毫无意义的内容，直到耗完纸张或强行关闭打印机才会停止。

No8：“网银刺客”

“网银刺客”木马暗算多家网银。

2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发，该木马恶意利用某截图软件，把正当合法软件作为自身保护伞，从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金，影响十余家主流网上银行。

No9：“遥控弹窗机”

“遥控弹窗机”木马爱上偷菜。

“遥控弹窗机”是一款伪装成“ *** 农牧餐大师”等游戏外挂的恶意木马，运行后会劫持正常的 *** 弹窗，不断弹出大量低俗页面及 *** 钓鱼弹窗，并暗中与黑 *** 务器连接，随时获取更新指令，使受害者面临 *** 帐号被盗、个人隐私泄露的危险。

No10：“Q币木马”

“Q币木马”元旦来袭。

新年历来是木马病毒活跃的高峰期，2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假 *** 弹窗，诱骗中招用户在Q币充值页面上进行支付，充值对象则被木马篡改为黑客的 *** 号码，相当于掏钱替黑客买Q币。

No11: “修改中奖号码”

2009年6月，深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点，深圳市某技术公司软件开发工程师程某，利用在深圳福彩中心实施技术合作项目的机会，通过木马程序，攻击了存储福彩信息的数据库，并进一步进行了篡改彩票中奖数据的恶意行为，以期达到其牟取非法利益的目的。

谁能给我一篇木马病毒防范与查杀的论文？谢谢

最近有朋友问我什么杀毒软件好，360还是瑞星呢？MCAfee呢 ？下面我就做简单的回答，让朋友们真正认识什么是那些所谓的“杀毒软件”？

曾经我也有过这样的疑问：

1.什么是病毒？

2.杀毒软件又是如何判定一个文件是不是病毒的？

3.为什么我装了杀毒软件可是仍然中毒？

相信经常接触电脑的你也有过类似的想法吧

下面让我们逐步揭开它们的神秘面纱？

首先回答之一个问题：简单的说，病毒就是一段具有破坏性的程序代码。这个范围比较广，通常包括普通病毒、蠕虫和特洛伊木马。三者的界限并不是十分清晰的。只要是你觉得对你有害的程序，都可以归为病毒。

不过我有一点提醒大家：“cy病毒”的破坏范围比较广泛，与现在 *** 界最强的病毒：木马和vs_cheidhsj功能一样强大，不过还比他们厉害一点点！！！

第二个问题和第三个问题我们这样做解释：

杀毒软件判定病毒通常有两种 *** ：一是特征码匹配（这是主要的，市面上绝大多数杀软都使用这种技术。也就是说凡是有扫描技术的杀毒软件99%是特征码匹配。） 二是行为判断或者叫主动防御（从目前看比较好的是国产的杀毒软件：微点这两个概念我们会依次介绍并做个简单的分析对比。

特征码匹配：了解这个概念首先必须明确什么叫特征码？这里我们举个小例子。你说你为什么能分辨出谁是你的朋友，谁又是你的家人呢？你会说：他们长得不一样啊！对，他们长得不一样用计算机的语言说就是他们的特征不同。而程序的特征表现形式就是特征码。反病毒专家从病毒样本中提取病毒的特征码并加入病毒库，这样我们在升级后就可以查杀这种病毒了。

不过cy病毒经过本人的几万次测试，瑞星、360、江民、金山毒霸……等等，这些杀毒软件都是杀不出来的。而且美国空房部颁发的文件粉碎器，也粉碎不了！！！（O(∩_∩)O哈哈~ 大家知道升级的必要性了吧）。

但是显而易见，这种 *** 有很多缺陷。比如人可能长得一摸一样，所以使用特征码检测病毒也存在误报的现象（前一段时间黑防网站发生了“伪挂马事件”，就是个典型）。我们只有先发现了病毒，然后才能提取特征码，这就决定了我们防御的滞后性。一个很常见的情况是，你在升级过杀毒软件后才能扫描出木马（升级！升级！！）。可这时，你已经中毒了。

另外如果你的父母进行了整容（呵呵 比喻而已），可能你就不认识了；病毒也是如此。如果病毒的制造者修改了病毒的特征码，杀毒软件就不认识病毒了，当然就查不出来了（看到这你能想到什么？ 木马过免杀的原理 懂了吧 ！）。这种让病毒不被杀毒软件查杀的技术就是黑客口中的“免杀”。免杀技术的流行使很多杀毒软件形同虚设。很多病毒开始使用随机自变异来逃避杀毒软件的检测。熊猫烧香是一个不错的案例，很多人（程序员、骇客）甚至用“伟大”一词，来形容李俊。他开创了一个新的思路。“熊猫烧香”、“金猪报喜”等事件让人们看到了传统杀毒软件的缺陷，人们在寻找一种更好的 *** 来从根本上防止病毒，基于这种想法，行为判断技术（即主动防御）出现了。

行为判断技术：通过程序的行为来对病毒加以区分。我们都知道：病毒和正常的软件的行为是不一样的。所以一个有经验的反病毒专家仅仅需要看到一个程序的开头几行代码就可能分辨出它是不是病毒。这样，我们需要一个拟真型的反病毒专家。他可以通过程序的行为来区分病毒，而不是程序本身，大大降低了误报率。同时，程序可能有千万种，但是程序的行为却是有数的（这可能比较难以理解，但你想想，程序可以实现很多功能。不过再多的功能不也是程序员一点一点写出来的么？这像是做数学题一样，变化再多，最后还离不开那十个 *** 数字）。病毒制造者绞尽脑汁想出一种传播 *** ，而我们的反病毒专家只需要截获一个样本就可以彻底堵死他的传播途径。我们在根本上变成了以逸待劳。更何况，突破的思路是很难的。圈子内的人不是10W叫卖能过微点的木马么？由此可以看出，行为判断技术是未来杀毒软件的发展方向。

写毕业论文，题目是浅谈木马病毒及其防御措施，请大家帮帮忙啊！

——简易提纲

一、序论

二、本论

(一)……

（二)……

(三)……

三、结论

——详细提纲

一、序论

1．提出中心论题；

2，说明写作意图。

二、本论

(一)……

1．

2．

3．

4．

(二)……

1．

2，

3．

4，

(三)……

1．

2．

3．

4．

5，

三、结论

1，概述……

2．呼应开头的序言。

学术论文写作的谋篇构思

（一）谋篇构思的思路与要求

1．构思要围绕主题展开

若要使论文写得条理清晰、脉络分明，必须要使全文有一条贯穿线，这就是论文的主题。主题是一篇学术论文的精髓，它是体现作者的学术观点学术见解的。论文影响读者主要就是靠其主题来实现的。因此，下笔写论文前，谋篇构思就要围绕主题，构思要为主题服务。正如法国的画家米勒（Millet）所说：“所谓构思，是指把一个人的思想传递给别人的艺术”。可见这一条十分重要。

2．构思论文布局，要力求结构完整统一

在对一篇论文构思时，有时会发现需要按时间顺序编写，有时又会需要按地域位置（空间）顺序编写，但更多的还是需要按逻辑关系编写，即要求符合客观事物的内在联系和规律，符合科学研究和认识事物的逻辑。但不管属于何种情形，都应保持合乎情理、连贯完整。有时，构思出现几种写作方案，这就需要进行比较，在比较中，随着思考的不断深化，写作思路又会经历一个由庞杂到单纯，由千头万绪到形成一条明确线索的过程，此时，应适时抓住顿悟之机，按照古人之去“应机立断，须定一途”的精神，确定一种较好方案。

3．要作读者分析

撰写并发表任何一篇科技文章，其最终目的是让别人读的，因此，构思时要求做“心中装着读者”，多作读者分析。有了清晰的读者对象，才能有效地展开构思，也才能顺利地确定立意、选材以及表达的角度。一般说来，读者可分为专业读者、非专业读者、主管领导或科技工作主管机构负责人等，人们对科技文章的要求与评估标准各异。对于学术论文来说，其读者对象为同行专业读者，因此，构思要从满足专业需要与发展的角度去思考，确定取舍材料与表达深度与广度，明确论文的重点。如果一篇论文包含有重要性不同的几个论题，作者应分清主次，考虑如何由次要论题向主要论题的过渡，以能引起专业读者的兴趣。

（二）如何提高构思能力

很难想象，一个思维不清晰的作者会写出条理清晰、脉络分明的论文来。因此，重要的问题在于通过写作实践训练思维能力，思维能力提高了，构思论文的能力将随之提高。

在正式撰写学术论文之前，先拟制定作提纲，可以极大地帮助作者锻炼思想，提高构思能力，这一办法是被长期实践证明了是有效的办法之一。据资料报导，世界上先拟制定作提纲，然后按提纲进行写作的科技人员，约占总数的95%。

写作提纲的作用，具体说，有以下几点：

1．写作提纲，类似一张建设蓝图，可以帮助作者自己勾划出全篇论文的框架或轮廓，体现自己经过对材料的消化与进行逻辑思维后形成的初步设想，可计划先写什么、后写什么，前后如何表述一致，重点又放在哪里，哪里需要进行一些注释或解说。按此计划写作，可使论文层次清晰，前后照应，内容连贯，表达严密。

2．拟制写作提纲，只需要运用一些简单的句子甚至是词与词组加以提示，把材料单元与相应的论点有机组织编成顺序号，工作量并不大，也容易办到。当提纲写成后，再从总体上来。这很象是转动万花筒，只要稍稍转动一个角度，便会出现新的图案。提纲的调整也是如此。应该说，高速提纲要比无提纲写好人文后再调整要轻松得多。

提纲中用以提示写作的句子，有时即可用来做论文段落的标题。由此可见，通过写作提纲的拟制，可以确定论文的结构，使论文全篇形成一个统一完整的理论体系。

3．提纲的拟制，有昨于繁忙的作者与进行合作撰写的多作者。前者，由于工作忙，时而中断写作过程，可藉提纲提示，帮助你在重新写作时立即恢复原来的思路；后者，可帮助合作撰稿人按照提纲进行分工与协调，避免由于各写各引起的重复与疏漏。

[示例]

论文：地基刚度对拱坝坝体应力的影响（研究对象：二滩拱坝地基）

一、引言

1．介绍拱坝地理位置与形貌

2．介绍坝址地质地貌

3．提示坝基存在的局部缺陷 (1 坝基刚度左右岸不对称；2右岸坝基中部存在玄武岩软弱带;)

引出四种不同的均质变模地基，分别计算坝体应力的问题。

二、地基刚度对梁、拱分荷的影响

就三种地基情况对梁、拱分载的影响进行分析。

（一）均匀地基λ值的影响

1．给出λ的表示式。

2．绘制“不同变模均匀地基对梁、拱分荷的影响”曲线图。

3．提供“‘86型’拱坝主要几何参数表”。

论点：λ变化对拱端分荷的影响远小于拱冠部位。

（二）两岸不对称地基刚度的影响

1．绘制“左右两岸不对称的地基刚度对梁、拱分荷的影响”曲线图（对或、右端与拱冠分别绘制三张）。

2．分析图示结果。

（三）局部低变模的影响

1．分别就左、右端及拱冠绘制三张曲线图。

2．分析图示结果。

对以上三部分进行归纳说明[针对（一）、（二）、（三）一一对应说明影响程度]。

三、地基刚度对坝体复位的影响

1．均匀地基（图）。

2．两岸不对称地基（图、表）。

3．局部地基刚度降低的影响（图）。

四、地基刚度对坝体应力的影响

1．均匀地基情况下，λ值的变化对坝本应力的影响（图、表）。

2．两岸不对称（图）。

3．地基局部变模降低的影响（图）。

五、结论（总归纳）

1．针对λ值变化的影响的分析，指出在拱坝设计时需在底部考虑一定的倒悬度，以借助坝本的自重来减小底部由水压造成的应力。

2．针对刚度，指出用结构上的不对称补偿地基刚度的不对称。

3．虽存在有岩石软弱带，但只局限在边界附近，并不改变整个拱坝的应力分布。

重点说明地基变模对坝体应力的影响显著，其取值须引起重视。

作文提纲的形式一般有两种。

1．标题式提纲

这种提纲比较简单，只写出行文各段的标题。

这是一个标题式的作文提纲，勇简洁的文字标出了各段的写作要点。它的特点是文字简洁、速度较快，适合于对写作内容较熟悉或时间较紧的情况。但对初学写作的人来说，很难起到指导作文的作用。

2.要点式提纲

这种提纲比较详细，它即要表明作文的中心，又要写出作文的大致内容；同时，还要交代出文章的详略。

（三）编写提纲的要求

1.要审清题目，确定中心，选择材料

作文提纲是写好作文的基础，编写作文提纲要按照写作文的三个顺序：审清题目、确立中心，选择材料来进行。

作文题目一般给我们规定了写作范围（记人、记事、写景、状物等）、写作问题（记叙文、说明文、议论文），所以，审清题目，才能明确写什么、怎么写，才能避免文不对题、偏离中心的毛病。

中心思想是一篇文章的灵魂，在编写作文提纲式时，只有确立了中心，才能围绕选材，确定重点，安排详略，等等。选材时要注意紧紧围绕文章的中心思想，选择真实可信、新鲜有趣的材料，以使文章中心思想鲜明、深刻地表现出来。

2.要简洁明了

作文提纲只是作文的一个思路，一个框架。因此作文提纲既要完整，又不能过于繁琐；既要简洁，又要达到写作目的

木马病毒

可以使用金山清理专家扫描恶意软件

下载地址：

如果可以找到病毒文件的具 *** 置 可以使用百宝箱里的文件粉碎器

粉碎掉病毒文件(找不到病毒文件 继续下步操作)

然后使用windows清理助手清理系统

特鲁伊木马病毒！

这种病毒怎么清除? 特洛伊木马（Trojan horse）

完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过 *** 控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。

特洛伊木马是如何启动的

1. 在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了，这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。

4.在Autoexec.bat和Config.sys中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

6.启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

7.*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。

8.修改文件关联

修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。

对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。

9.捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

10.反弹端口型木马的主动连接方式

反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是 *** 神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在 *** 神偷服务端进行主动连接时发现它。

WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马（Trojan horse）

的解决方案:

WORM_NUGACHE.G(威金)

病毒码发布日期: Dec 8, 2006

解决方案:

Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.

Terminating the Malware Program

This procedure terminates the running malware process.

Open Windows Task Manager.

• On Windows 98 and ME, press

CTRL+ALT+DELETE

• On Windows NT, 2000, XP, and Server 2003, press

CTRL+SHIFT+ESC, then click the Processes tab.

In the list of running programs*, locate the process:

MSTC.EXE

Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.

To check if the malware process has been terminated, close Task Manager, and then open it again.

Close Task Manager.

*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.

On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.

Editing the Registry

This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:

HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME

HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0

HOW TO: Backup, Edit, and Restore the Registry in Windows 2000

HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing at startup.

If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.

Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.

In the left panel, double-click the following:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsCurrentVersionRun

In the right panel, locate and delete the entry:

Microsoft Domain Controller = "%System%\mstc.exe"

(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)

Removing Added Key from the Registry

Still in Registry Editor, in the left panel, double-click the following:

HKEY_LOCAL_MACHINESOFTWARE

In the left panel, locate and delete the following key:

GNU

Close Registry Editor.

Important Windows ME/XP Cleaning Instructions

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.

Users running other Windows versions can proceed with the succeeding solution set(s).

Running Trend Micro Antivirus

If you are currently running in safe mode, please restart your computer normally before performing the following solution.

Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.

Applying Patch

This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.

TROJ_CLAGGE.B 特洛伊木马（Trojan horse）

病毒码发布日期: Sep 18, 2006

解决方案:

Identifying the Malware Program

To remove this malware, first identify the malware program.

Scan your computer with your Trend Micro antivirus product.

NOTE the path and file name of all files detected as TROJ_CLAGGE.B.

Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.

Editing the Registry

This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:

HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME

HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0

HOW TO: Backup, Edit, and Restore the Registry in Windows 2000

HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003

Removing Malware Entry from the Registry

Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.

In the left panel, double-click the following:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

SharedAccessParametersFiREWaLLpolicyStAnDaRDPrOFiLe

AUtHorizedapplicationsList

In the right panel, locate and delete the entry:

{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"

Close Registry Editor.

Important Windows ME/XP Cleaning Instructions

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.

Users running other Windows versions can proceed with the succeeding solution set(s).

Running Trend Micro Antivirus

If you are currently running in safe mode, please restart your computer normally before performing the following solution.

Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner

有病毒~Trojan Horse

近来“灰鸽子病毒”传播的甚是厉害，5Q上有不少人以发布卡巴斯基杀毒软件为名，在其中暗藏病毒，尤其以自解压包的文件最为危险，其病毒程序在自解压后能够自动运行，并在生成木马程序后自动删除源文件！而灰鸽子病毒的作者至今还没有停止对灰鸽子的开发，再加上有部分人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在 *** 上不断有新的灰鸽子变种出现。现在即使是最新版本的杀毒软件也未必可以完全进行查杀，可能在正常杀毒下显示已完全清除，但可能在你重新启动后，木马程序再次生成！！！在这里结合本人的实际经验给出一个“灰鸽子病毒”手动清除的办法！

灰鸽子的运行原理

灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过 *** 把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

由于灰鸽子病毒变种繁多，其文件名也很多变，近来发现的以(Backdoor.GPigeon.sgr)类型居多，不易对付，在被感染的系统%Windows%目录下生成三个病毒文件，分别是 G_Server.exe，G_Server.dll，G_Server_Hook.dll。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

同时注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件

灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是：启动计算机，在系统进入Windows启动画面前，按下F8键，在出现的启动选项菜单中，选择“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“*_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\\windows，2k/NT为C:\\Winnt）。

3、经过搜索，在Windows目录（不包含子目录）下发现了一个名为G_Server_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，G_Server_Hook.dll是灰鸽子的文件，则在操作系统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的G_ServerKey.dll文件。

[以上的我试过,但唔知系米我唔识操作,所以根本我都揾唔到,后黎我下咗个WINDOWS木马清道夫,扫描硬盘,咁就揾到晒所有嘅木马文件]

经过这几步操作基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：此操作需在安全模式下进行，为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“G_server.exe”，点击确定，我们就可以找到灰鸽子的服务项.

3、删除整个G_server.exe键值所在的服务项。

[呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅 *** ,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项，立即可以看到名为G_server.exe的一项，将G_server.exe项删除即可。

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

附：

其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的，本人使用的是瑞星杀毒软件并已经更新至最新版本，在正常模式下，瑞星查杀了除G_server.exe文件外的所有文件，其实本人并没有指望瑞星能够全部查杀，但瑞星实际上给我帮了一个大忙，就是帮我确定了所中灰鸽子病毒的类型，我在使用瑞星查杀时查杀了G_server.dll、G_server_Hook.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件，这就让我确定了剩下的那个文件必然是G_server.exe，于是重新启动计算机进入安全模式，首先要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。然后打开Windows的“搜索文件”，因为确定病毒文件为G_server.exe，但同时出于保险起见，在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\windows目录下发现了G_server.exe,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!

另外还需进入注册表删除服务键值项,本人利用注册表的查找功能搜索G_server,查找到了灰鸽子病毒的服务键值项,并发现其中由一个键值赫然写着".....灰鸽子.....",这令本人愤恨不已,于是删除整个服务键值项.至此,灰鸽子病毒清除完毕,本人重新启动电脑,又开始了自己的工作,并结合网上的一些相关资料为大家写下了这篇文章,希望对大家有帮助!!