文章大纲：

• 1、ijh4g.dll是什么病毒？
• 2、qq病毒的典型 *** 病毒
• 3、Trojan/win32是什么病毒
• 4、特洛伊木马Trojan．Win32．Agent．ph是什么病毒．应该怎么处理呢
• 5、artemis木马病毒

ijh4g.dll是什么病毒？

是特洛伊木马

知道特洛伊木马病毒的各种特性和隐藏 *** ，对于特洛伊木马病毒专杀工具以及手动清除有很大作用。

特洛伊木马是一种非常危险的恶性程序，它无休止的窃取用户的信息，从而给用户造成了巨大的损失。本期专题我们从特洛伊木马的原理、技术以及防御与清除方面给大家进行全方位的介绍，让大家了解特洛伊木马，同时提高对特洛伊木马的防范意识……

什么是特洛伊木马?

“特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过 *** 控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。

详解木马原理

介绍特洛伊木马程序的原理、特征以及中了木马后系统出现的情况……

特洛伊木马是如何启动的

作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的 *** 是通过修改Windows系统文件和注册表达到目的，现经常用的 *** 主要有以下几种:

1.在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了，这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。

4.在Autoexec.bat和Config.sys中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

6.启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shellFolders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

7.*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。

8.修改文件关联

修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。

对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。

9.捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

10.反弹端口型木马的主动连接方式

反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是 *** 神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在 *** 神偷服务端进行主动连接时发现它。

木马的隐藏方式

1.在任务栏里隐藏

这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.在任务管理器里隐藏

查看正在运行的进程最简单的 *** 就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 "系统服务“就可以轻松地骗过去。

因此，希望通过按Ctrl+Alt+Del发现木马是不大现实的。

3.端口

一台机器有65536个端口，你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势;当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统不正常，这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么?

4.隐藏通讯

隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后，收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序。

5.隐藏隐加载方式

木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不做任何伪装，就告诉你这是木马，你会运行它才怪呢。而随着网站互动化避程的不断进步，越来越多的东西可以成为木马的传播介质，Java Script、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化。

6.最新隐身技术

在Win9x时代，简单地注册为系统进程就可以从任务栏中消失，可是在Windows2000盛行的今天。这种 *** 遭到了惨败。注册为系统进程不仅仅能在任务栏中看到，而且可以直接在Services中直接控制停止。运行(太搞笑了，木马被客户端控制)。使用隐藏窗体或控制台的 *** 也不能欺骗无所不见的Admlin大人(要知道，在NT下，Administrator是可以看见所有进程的)。在研究了其他软件的长处之后，木马发现，Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。

这是一种更新、更隐蔽的 *** 。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种 *** 与一般 *** 不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的 *** (改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。实际上。这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的 *** 监测不到它。在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。

特洛伊木马具有的特性

1.包含干正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性。

由于木马所从事的是 "地下工作"，因此它必须隐藏起来，它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清，还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时，客户端与服务器端连接成功后，客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己，不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题，把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件，叫做exe-binder绑定程序，可以让人在使用绑定的程序时，木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定，在你看图片的时候，木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面:

(1)不产生图标

木马虽然在你系统启动时会自动运行，但它不会在 "任务栏"中产生一个图标，这是容易理解的，不然的话，你看到任务栏中出现一个来历不明的图标，你不起疑心才怪呢!

(2)木马程序自动在任务管理器中隐藏，并以"系统服务"的方式欺骗操作系统。

2.具有自动运行性。

木马为了控制服务端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3.包含具有未公开并且可能产生危险后果的功能的程序。

4.具备自动恢复功能。

现在很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，以为万事大吉又运行了其他程序的时候，谁知它又悄然出现。像幽灵一样，防不胜防。

5.能自动打开特别的端口。

木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统，而是为了获取你的系统中有用的信息，当你上网时能与远端客户进行通讯，这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施进一步的人侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议，每台电脑可以有256乘以256个端口，也即从0到65535号 "门"，但我们常用的只有少数几个，木马经常利用我们不大用的这些端口进行连接，大开方便之 "门"。

6、功能的特殊性。

通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

qq病毒的典型 *** 病毒

1、病毒名称：Trojan/ *** Msg.Zigui

中 文 名：“ *** 龟”

病毒类型：木马

影响平台：Win 9x/2000/XP/NT/Me/2003

“ *** 龟”是一个木马程序，通过向 *** 好友群发病毒程序文件进行传播。文件名极具欺骗性，甚至调侃脑白金广告 “今年过年不收礼，收礼只收白骨精（搞笑版广告）”，继而盗取用户机密信息，并将盗取的信息发送给黑客。 2、病毒名称：I-Worm/ *** .Porn

中 文 名： *** 爱虫

传播方式： ***

病毒类型：蠕虫

影响平台：Win 9x/2000/XP/NT/Me/2003

*** 爱虫是通过在线 *** 发送病毒文件的 *** 蠕虫，该病毒会通过 *** 发送名为“蔡依林短裙显诱惑[转帖][贴图]”等带毒文件，病毒文件名还会包含众多带有色情和挑逗性的文字。病毒运行后会从黑客网站下载另一病毒“结巴” (Backdoor/Jieba.2004)，后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码。 小心误入爱情森林，恶意网页是帮凶。2002年8月23日下午，瑞星全球病毒监控中心首次截获了一个传染能力极强的恶性 *** 病毒――“爱情森林”（Trojan.sckiss）。据瑞星公司的反病毒工程师介绍，此病毒会利用 *** 软件，诱惑用户打开一恶意网页，而该网页会自动下载病毒并修改注册表产生破坏。

病毒类型：木马病毒

发作时间：随机

传播方式：邮件/ *** / *** 诱骗

感染对象： ***

警惕程度：★★★★

病毒介绍：

此病毒是已知的之一个利用 *** 进行传播并破坏的恶性木马病毒。它利用本机 *** ,在用户不知道的情况下向用户的好友发送一句消息：“(网址不便展现)这个你去看看！很好看的”一旦登陆此网站，便会中毒。因为此网站的主页是一个恶意网页，它会自动下载“爱情森林”病毒并执行，从而对用户计算机造成破坏。

此病毒具有以下四大特色：

一、 利用邮件包装，形成自启动邮件。

病毒的原始文件是一个名为HACK.EXE的木马病毒，病毒作者为了能使病毒“初战告捷”，迅速占领用户计算机，利用了OUTLOOK的邮件漏洞，将原始病毒包装成一个可以预览执行的病毒邮件：s.eml,然后放入一个恶意网页中，等待下载。

二、 利用 *** 工具，发送伪装信息。

如果用户不小心点击或预览了病毒邮件，病毒便可执行。病毒执行时会搜索用户的 *** 程序，如果用户在线的话，病毒会伪装成用户，给用户的所有在线的好友发送一条用户无法查觉的隐藏信息，此信息的内容为：“(网址不便展现)这个你去看看！很好看的”如果用户的好友在收到了此信息后，因为好奇而点击了此链接，则会进入一个恶意网页。

三、 利用恶意网页帮凶，导致病毒泛滥。

该恶意网页用 *** 语言编写，利用了JAVA EXPLOIT漏洞，所以不经用户的允许，便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏，将用户的IE标题改为：“(网址不便展现)/爱情森林”，使用户的“运行”菜单项无法使用，并且将用户的IE默认首页改为：“(网址不便展现)”，此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来，无论用户启动计算机还是启动IE浏览器，都可以自动链接到恶意网页，感染病毒。

四、 侵占系统目录，继续“生生不息”。

“爱情森林”病毒通过 *** 发送信息之后，便开始进行本机的感染。病毒首先改名为：“EXPLORER.EXE”，然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下，这样用户即使发现也不会起疑心，然后病毒修改注册表，在RUN的自启动项中建立一个EXPLORER的键值，将病毒路径加入其中，一旦计算机重启，病毒便可自动运行，再次进行以上感染。

爱情森林II病毒

浪漫的“爱情森林”又升级了，所有的计算机用户都应该注意，不要被浪漫的病毒骗了。

病毒类型：木马病毒

发作时间：随机

传播方式：邮件/ ***

感染对象： ***

警惕程度：★★★★

病毒介绍：

1.此病毒是爱情森林的变种，当之一代的病毒网址被封掉以后，病毒又想出了新招。

2.该病毒将自己复制多份到windows的系统目录，并修改多项注册表。

3.当用户点击任何一个.exe文件时，病毒会根据特定文件名动态生成一个对话框：“某某文件发现引导区病毒，请到dos下面用A盘！”一旦当用户点确定时，文件即被删除。

4.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站，使用户无法上网升级病毒库最新版本。

爱情森林C版病毒

“爱情森林”病毒又出C版，请用户及时准备，以防不测。

病毒类型：木马病毒

发作时间：随机

传播方式： ***

感染对象： ***

警惕程度：★★★★

病毒介绍：

爱情森林病毒的又一个新变种！此病毒运行时建立5个病毒复本：WIN386.SWP、WINUPDATE.EXE、INTERNETS.EXE、WINVER.EXE、HOSTS,并将系统的交换文件替换掉，而且还伪装成系统的更新文件躲在启动目录中。另外，病毒会将可执行的关联改成病毒体，这样用户运行其他程序时会直接运行病毒体，而且有些程序运行时还会被此病毒删除。

此病毒有如下特征：

1. 建立5个病毒副本，系统启动后病毒会自动运行： C:\WINDOWS\WIN386.SWP C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE C:\WINDOWS\SYSTEM32\INTERNETS.EXE C:\WINDOWS\WINUPDATE.EXE C:\WINDOWS\WINVER.EXE C:\WINDOWS\HOSTS 2. 将注册表中的HKCR\exefile\shell\open\command项的内容改为：C:\WINDOWS\winupdate.exe %1 %*，这样用户双击任何程序都会不启动程序而直接启动病毒。

3. 有时一些启动的应用程序还会被此病毒莫名其妙地删除。 于2002年10月18日出现的新型恶性 *** 病毒“ *** 伪装专家”（Trojan. *** camoufleur）虽然已经被瑞星公司捕获，但鉴于这个病毒有出现新版本的可能，所以广大用户还是应该做好防毒准备。

病毒类型：木马病毒

发作时间：随机

传播方式： ***

感染对象： ***

警惕程度：★★★★

病毒介绍：

此病毒用高级语言编写并用aspack工具压缩。病毒会伪装成真正的 *** 程序启动，并在桌面上建立一个名为：“ *** 2000b”的快捷方式，而真正 *** 的快捷方式是：“腾讯 *** ”。病毒运行时会将用户的 *** 号码与密码偷偷发送到指定邮箱。病毒有极强的 *** 传染能力，如果发现局域网中有共享目录，便将自身拷贝到共享目录下，诱使用户运行。病毒会通过邮件系统传播。建立标题为：“这是我的照片”，附件为：“photo.gif.exe”的病毒邮件。另外，病毒还会攻击打印机。一旦检测到打印机的存在，病毒便会不断地通过打印机大量打印病毒代码，损耗打印机，浪费纸张。

病毒一般会有如下特征：

1. 使打印机无故打印乱码。

2. 在桌面上建立一个名为：“ *** 2000b”的快捷方式。

3. 启动后会将自己拷贝到系统目录下，并改名为 windll.exe,photo.gif.exe 和 notepads.exe。

4. 病毒会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加一个键值为：WinIme,内容为：C:\WINNT\SYSTEM32\windll.exe的自启项。

5. 病毒会修改注册表，将命令接口（HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改为病毒体，这样即使是自启动项被用户删除了，病毒也会照常运行。

6. 病毒会利用邮件进行传播，产生标题为：“这是我的照片”，附件为：“photo.gif.exe”的病毒邮件。 Worm.Gop.3( *** 窃手）是近日出现的一种新型的蠕虫病毒，它以攻破聊天工具OICQ密码为目标，同时也会恶意泄漏用户的重要信息。此病毒蔓延速度极快，据瑞星全球病毒监测网报告，这是一种传播力极强的病毒，国内也已经发现病毒信息，所以广大用户应紧急采取预防措施，避免遭受损失。

病毒名称：Worm.Gop.3

别名： *** 窃手

病毒类型：蠕虫

发作时间：随机

传播方式： *** /文件

感染对象： *** /文件

警惕程度：★★★

病毒介绍：

Worm.Gop.3( *** 窃手)病毒主要通过邮件形式传播，更具危害的是：它具有与尼姆达病毒类似的“预览信件即受感染”的能力，这样用户不用打开病毒邮件就已经遭受感染。它具有传染极快、结构复杂等特点，它所造成的危害主要就是泄漏用户ICQ(OICQ)密码，同时将用户在感染前处理的最后一个文件（近期文件，对用户来讲往往很重要）通过附件形式，通过邮件形式寄出，这样用户的很多隐私就有可能在不知不觉中泄露出去。

发作现象：

Worm.Gop.3( *** 窃手）自身捆绑了一个DLL文件，和一个随机的文档，当病毒运行后会在系统目录下释放出一个kernelsys32.exe,然后kernelsys32.exe将自动启动。（此病毒还会在临时目录下将自身带的WORD文件释放出来，并将此文件打开，借此来掩饰自己的行为。）

Kernelsys32.exe会释放出一个IMKERNEL32.SYS的文件，并将IMKERNEL32.SYS注入其他的进程空间内，该文件注入进程空间内后就开始窃取本地的QICP的帐号和密码。然后当QICQ启动时，它会判断当前的窗口标题如果是“ *** 用户登录”或是“OICQ用户登录”就将窃取用户输入的密码，并将密码和帐号保存在系统目录下的drocerr.sys文件中，同时备份到系统目录下的drocerrbk.sys文件中。

病毒还会自动查找最近打开过的文件，如果文件是以下类型（bmp、rtf、doc、txt、gif、jpeg、jpg）并且小于80k,病毒就将此文件捆绑在自己后面，形成一个exe文件作为附件发送给别人。这样收信人会以为收到了一个无害的文件，一但在Outlook Express或者windows中预览了这个邮件，会立刻感染这个蠕虫。信件的主题为以下之一： 想念你的模样 想我的小宝贝了 快乐 给我永恒的爱人 我爱你 想念 我在等着你 吻你 你是我的女主角 爱，有时候真的不能去比较的 哎 Fw：姐姐的照片 记得收好我的照片呀！ xue 您的朋友 张 给您寄来贺卡 信件的内容为各种情书。这对于佳节将至的广大用户来说，是很容易被蒙蔽的。

清除Worm.Gop.3( *** 窃手）病毒的方式是用杀毒软件将其全面杀除。

预防Worm.Gop.3( *** 窃手）的办法与多数蠕虫病毒的 *** 类似：就是不要打开上文提到的主题邮件，其次是警惕陌生邮件，为了避免受到病毒侵袭用户还应使用优秀的防火墙软件――如瑞星防火墙进行防堵预防，并尽快对杀毒软件进行升级。 病毒名称：Hack. *** 2000.Trick

病毒别名： *** 骗子

发作时间：随机

病毒类型：黑客程序

传播方式： ***

警惕程度：★★★★

病毒介绍：

此病毒模仿oicq软件，将用户填写的登录号码和密码发送到指定信箱，从而窃取用户个人信息。由于此程序的外表做得和真正的oicq软件的图标完全一致，所以对于用户造成了很大的迷惑，极易让人上当。

发作现象：

此病毒与真正的 *** 有同样的图标，如果用户双击此病毒文件，病毒即运行，跳出一个信息框，让用户填写邮件地址，而真正的oicq程序是没有此信息框的，所以当出现此信息框的时候，则表明用户正在使用 *** 骗子，而不是真正的 *** 。与此同时 *** 骗子还会在桌面生成一个快捷方式，此快捷方式也与真正的oicq软件的快捷方式相同。用户如果再双击 *** 骗子生成的快捷方式的话，又会跳出一个与oicq软件相同的登陆界面，如果此时用户将自己的登录号码和密码填写上去，并按确定键的话，又会跳出一个信息框，显示登录失败，而实际上，与此同时，刚才用户所填写的信息已被发送到病毒制造者所指定的信箱中，从而用户的私人信息便被泄露出去了。 2003年10月以来网上出现一种叫做“ *** 尾巴(Trojan. *** 3344)”的木马病毒。该病毒会偷偷藏在你的系统中，当 你在使用 *** 的时候，它会自动寻找 *** 窗口，给在线上的 *** 好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息，如果有人信以为真点击该链接的话，将会感染上病毒，并且成为病毒的传播源。

一、该病毒的主要特征：

这种病毒并不是利用 *** 本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助 *** 进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到更高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用 *** 向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

*** 收到信息如下： 1. HoHo~~ ***刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。 2. 呵呵，其实我觉得这个网站真的不错，你看看**** 3. 想不想来点摇滚粗口舞曲，中华 DJ 之一站，网址告诉你***********不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。 4.*** 帮忙看看这个网站打不打的开。 5. *** 看看啊。我最近照的照片~ 才扫描到网上的。看看我是不是变了样？ 二、解决 *** ：

1．在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在 *** 后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2．随时升级杀毒软件。

3．安装系统漏洞补丁

由病毒的播方式我们知道，“ *** 尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 警惕程度：★★★★

发作时间：随机

病毒类型：木马病毒

传播方式： *** 软件

感染对象： *** 用户

依赖系统： WIN9X//NT/2000/XP

病毒介绍：

该病毒运行后会偷偷藏在用户的系统中，并修改注册表进行自启动。发作时会寻找 *** 窗口，每隔1分钟就给被感染用户的所有线上的 *** 好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。

2. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。

3. 病毒会将用户系统中的IE默认首页改为：*********** ，使用户一上网就中招。

4. 病毒会寻找 *** 的发送消息窗口，给用户所有好友随机发送以下消息： 1. *** 电影爽啊！给你也推荐一下，完全免费--； 2. 快去这看看，里面有蛮好好东西--； 3. 上次看了个网站不错，去看看吧--； 在这些消息之后还伴随着一个恶意网址诱骗用户点击。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了 *** 连发器（Trojan.WebAuto、Trojan.WebAuto.a)病毒。 病毒类型：木马病毒

传播途径： *** 软件/ ***

依赖系统： WINDOWS 9X/NT/2000/XP

病毒介绍：

2004年2月27日，瑞星全球反病毒监测网率先截获一个传播非常迅速，破坏性很强的的恶性木马病毒，并命名为“美女杀手 (Trojan.Legend.Syspoet.b)”病毒，该病毒通过 *** 发送虚假消息给在线好友，导致在线好友上当。病毒会将自己伪装成网址，当用户点击该网址时会出现一副美女照片，当照片被打开的时候用户的电脑则已经被病毒感染。

该病毒会利用微软浏览器的漏洞进行攻击，浏览器版本级别低于IE6.0 SP1的电脑染毒后，病毒会修改一些文件的关联，导致象OFFICE软件、任务管理器、注册表编辑器等程序无法使用，该病毒还会破坏资源管理器，只要用户打开目录的深度超过五级，病毒就自动关闭浏览器。该病毒会干掉含有“杀毒”字样的窗口，因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。另外该病毒会修改用户电脑的系统配置，导致用户重启系统时无法进入“我的电脑”。

病毒盗取《传奇》游戏的密码和其他信息，并通过十几个邮件服务器向外发送大量的病毒邮件，阻塞 *** 。据瑞星反病毒工程师介绍，没有被感染的用户可以通过个人防火墙来预防该病毒，当用户发现有Mshta.exe的程序访问外部 *** 时，应该立刻禁止，如果该程序访问 *** 成功，将会对用户电脑产生上述破坏。

病毒的特性、发现与清除：

1. 病毒用VB语言编写，采用UPX压缩。

2. 病毒一旦执行，病毒将自我复制到系统文件夹，并重命名为随机文件名的可执行文件。

3. 病毒将在注册表启动项下，创建随机注册表键值来使自己随Windows系统自启动。

4. 终止带有下列字眼的程序的执行：瑞星、金山毒霸、江民、专杀、毒、木马、防火墙、监控、注册表编辑器、任务管理器、进程列表、进程管理、Antivirus、Trojan、REGSNAP、REGSHOT、REGISTRY MONITOR、W32DA *** 。

5. 通过 *** 发送虚假消息给在线好友，导致在线好友上当。

6.盗取游戏“传奇”的各种信息，将盗取的信息发送到可配置的指定邮箱。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“美女杀手(Trojan.Legend.Syspoet.b)”病毒。 该病毒采用VC++(SDK)编写，是一个通过 *** 传播的病毒。

一、病毒评估

1．病毒中文名： *** 女友

2．病毒英文名：Worm.LovGate.v. ***

3．病毒大小：53,248 字节

4．病毒类型：蠕虫病毒

5．病毒危险等级：★★★★

6．病毒传播途径： ***

7．病毒依赖系统：WINDOWS9X/NT/2000/XP

二、病毒的破坏

利用 *** 发送诱惑信息，导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友，致使不明真相的用户上当。

三、病毒报告

1.复制自己到系统目录：

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注册表键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE 3.病毒运行后将建立一个HTTP服务器，监听TCP端口20808

该功能将响应远程的下载请求，将本地的病毒文件复制到远程机器。

4.病毒搜索 *** 聊天软件，向在线的好友发送诱惑信息，内容如下：

“你是那样地美，美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。

留给我印象最深的是你那双湖水般清澈的眸子，以及长长的、一闪一闪的睫毛。

像是探询，像是关切，像是问候。

这是你需要的东西：

下载地址1

http://*.*.*.*：：20808//%DRIVE%c:\\filename.exe

下载地址2

http://*.*.*.*：：20808//%DRIVE%c:\\filename.exe”

上面的内容头部也可能为下列之一： 其实，我更先认识你是在照片上。照片上的你托腮凝眸，若有所思。那份温柔、那份美感、那份妩媚，使我久久难以忘怀 远远地，我目送你的背影，你那用一束大红色绸带扎在脑后的黑发，宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。 你蹦蹦跳跳地走进来，一件红尼大衣，紧束着腰带，显得那么轻盈，那么矫健，简直就像天边飘来一朵红云。 你笑起来的样子最为动人，两片薄薄的嘴唇在笑，长长的眼睛在笑 春花秋月，是诗人们歌颂的情景，可是我对于它，却感到十分平凡。只有你嵌着梨涡的笑容，才是我眼中最美的偶象。 你其有点像天上的月亮，也像那闪烁的星星，可惜我不是诗人，否则，当写一万首诗来形容你的美丽。 你是一尊象牙雕刻的女神，大方、端庄、温柔、姻静，无一不使男人深深崇拜。 在风吹 *** 的散发时，我简直着魔了：在闪闪发光的披肩柔发中，在淡淡入鬓的蛾眉问，在碧水漓漓的眼睛里……你竟是如此美丽可人！ 你是花丛中的蝴蝶，是百合花中的蓓蕾。无论什么衣服穿到你的身上，总是那么端庄、好看。 你那瓜子形的形（编者注：该字疑为病毒作者笔误），那么白净，弯弯的一双眉毛，那么修长；水汪汪的一对眼睛，那么明亮 其中*.*.*.*为本机地址，%filename%为下列之一： c:\setup.exe c:\hello.exe c:\flash c:\123456.exe c:\pass.exe c:\game.exe c:\my_photo.exe c:\update.exe c:\mp3.exe c:\666666.exe 这些都是病毒本身。

5.鉴于该病毒的特殊性，尤其是女性的使用 *** 的用户，请看到上述信息时请不要上当。

四、病毒解决方案：

1.进行升级

瑞星公司将于2004年3月12日当天进行升级，升级后的软件版本号为16.17.20,该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和 *** 版的用户可以直接登陆瑞星网站

2.使用专杀工具

鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，

3.使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径

4.打 *** 求救

如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救 *** 。

5.手动清除

⑴打开任务管理器查看是否存在进程名为： INTERNET.EXE或SVCH0ST.EXE,终止它

⑵打开注册表编辑器，删除如下键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE ⑶将%WINSYS%目录下的文件： SVCH0ST.EXE和SVCH0ST.EXE删除

注：%WINSYS%位Windows系统的安装目录，在win9x,winme,winxp下默认为：C:\WINDOWS\SYSTEM,win2k下默认为：C:\WINNT\SYSTEM32。

五、安全建议：

qq病毒

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分 *** 病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、 *** 天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多 *** 病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.更好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。

Trojan/win32是什么病毒

Trojan/Win32是特洛伊微软系统32位木马病毒，是一种带有rootkit功能的特洛伊病毒，能够修改系统的winlogon.exe文件。

黑客用Trojan/Win32来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳 *** ，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。

与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。2009年1月7日，64-bit的Windows 7 Beta（组建7000）被泄漏到 *** 上，并在不少的torrent文件中附带了特洛伊木马病毒。

扩展资料

Trojan/Win32是特洛伊木马病毒的特征

特洛伊木马不经计算机用户准许就可获得计算机的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区。

之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作；或浏览器自动连往奇怪或特定的网页。

参考资料来源：百度百科—Trojan.Win32

参考资料来源：百度百科—特洛伊病毒Win32.Cutwail.GI

特洛伊木马Trojan．Win32．Agent．ph是什么病毒．应该怎么处理呢

木马盗号病毒

您好不用担心；

既然杀毒软件能查出来就一定能杀，所谓杀不了，是因为病毒在运行；正在运行的程序不能修改或删除的。

重新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。

另外请一定要清理一下你的临时文件夹建议使用超级兔子清理系统垃圾.更方便

这是因为有很多病毒主程序隐藏在临时文件夹里面,你杀毒的时候不能完全的删除

2006-8-10 超级兔子7.76

建议你安全模式下使用主流杀毒软件的最新版杀毒

祝您好运。

artemis木马病毒

搞笑，迈克菲已经删除了文件你怎么可能找到？你先把被报的文件从隔离区恢复出来，然后上传到多引擎病毒扫描网站或者是火眼，如果报毒的杀软不多或火眼没有检测出什么恶意行为的话直接加白即可。