文章大纲：

• 1、特洛译木马病毒的资料
• 2、红星新闻反应魅族给手机植入木马，此事属实吗？？
• 3、木马病毒
• 4、我想了解一下关于病毒和木马的问题
• 5、特洛伊木马病毒有何危害？

特洛译木马病毒的资料

一、初识特洛伊木马

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到 *** 要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的

二、极度危险的恶意程序攻击者早就溜之大吉。

对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。

首先，特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。如果PC带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容——在恶意代码的世界中，目前还没有比特洛伊木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有可能被记录。

一些特洛伊木马带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。

其次，如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，当然还可以利用被侵占的机器攻击其他机器。二年前，一个家庭用户请我帮忙，要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址，而且在他的浏览器缓冲区中，我也找到了该笔有争议的交易的痕迹。另外，我还找到了SubSeven（即Backdoor_G）特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关，但可以看出交易发生之时特洛伊木马正处于活动状态。

三、特洛伊木马的类型

常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。

对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常，这些微型的木马只用来窃取难以获得的初始远程控制能力，保障最初入侵行动的安全，以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。

随便找一个Internet搜索网站，搜索一下关键词Remote Access Trojan，很快就可以得到数百种特洛伊木马——种类如此繁多，以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列，每一个字母下有数打甚至一百多个木马。下面我们就来看看两种更流行的特洛伊木马：Back Orifice和SubSeven。

■ Back Orifice

1998年，Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头，它不仅有一个可编程的API，还有许多其他新型的功能，令许多正规的远程控制软件也相形失色。Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）发行，希望能够吸引一批正规用户，以此与老牌的远程控制软件如pcAnywhere展开竞争。

但是，它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活（在Windows 9x机器上运行得较好，在Windows NT机器上则略逊一筹）、密码、插件等。

Back Orifice的许多特性给人以深刻的印象，例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。Back Orifice带有一个软件开发工具包（SDK），允许通过插件扩展其功能。

默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言，Back Orifice对错误的输入命令非常敏感，经验不足的新手可能会使它频繁地崩溃，不过到了经验丰富的老手那里，它又会变得驯服而又强悍。

■ SubSeven

SubSeven可能比Back Orifice还要受欢迎，这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。

SubSeven具有许多令受害者难堪的功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机，等等。

SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系，它能够随机地更改服务器端口，并向攻击者通知端口的变化。另外，SubSeven还提供了专用的代码来窃取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保护程序的密码。

四、检测和清除特洛伊木马

如果一个企业 *** 曾经遭受病毒和Email蠕虫的肆虐，那么这个 *** 很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密，因此对于常规的反病毒软件来说，查找木马要比查找蠕虫和病毒困难得多。另一方面，特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此，检测和清除特洛伊木马是系统管理员的首要任务。

要反击恶意代码，更佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任。不过，Agnitum的Tauscan确实称得上顶级的扫描软件，过去几年的成功已经证明了它的效果。

特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口，特别地，如果这个端口正好是特洛伊木马常用的端口，木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据，应当尽快切断该机器的 *** 连接，减少攻击者探测和进一步攻击的机会。打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序等，从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式，启动到安全模式通常会阻止特洛伊木马装入内存，为检测木马带来困难。

大多数操作系统，当然包括Windows，都带有检测IP *** 状态的Netstat工具，它能够显示出本地机器上所有活动的监听端口（包括UDP和TCP）。打开一个命令行窗口，执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口，注意一下是否存在意外打开的端口（当然，这要求对端口的概念和常用程序所用的端口有一定的了解）。

五、处理遗留问题

检测和清除了特洛伊木马之后，另一个重要的问题浮现了：远程攻击者是否已经窃取了某些敏感信息？危害程度多大？要给出确切的答案很困难，但你可以通过下列问题确定危害程度。首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。

其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程 *** 或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？

在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，更好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。

在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或 *** 安全的负责人，彻底检测整个 *** ，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。

参考资料：

红星新闻反应魅族给手机植入木马，此事属实吗？？

从目前的形式不难看出，魅族给自己生产的手机植入病毒的事情不属实。木马病毒常见于老人机，也会造成卡顿发热，但是魅族的手机用户并没有反馈

一：木马拉活程序常见用于老人机，而魅族的手机主打的是年轻人性价比。

木马事件的源头就是金立手机，而金立手机近几年市场萎缩，只能发挥余热做“老人家”的手机。其字体大声音大的特点深受老人家喜欢，而魅族的市场却是高科技的性价比，他的受众几乎都是年轻人，所以他没有给木马病毒软件隐匿的可能性。老年人可能对于所谓的高科技产品手机的了解不多，大多数都是只用于打 *** ，手机即使有木马病毒也不会被发现。

二：木马程序会导致手机卡顿，发热，耗电量增加，而魅族没有。

魅族的客户以年轻客户为主，玩游戏刷性能的事情他们都没有少干，但是没有一家新闻报道了魅族用户有成片的卡顿发热等现象。年轻客户基本上都会打游戏或者对性能要求比较高，手机的明显卡顿或者发热都会被用户明显放大，不像老人家那样基本属于待机操作。年轻人的手机在游戏过程中性能卡顿很明显，加上本身打游戏耗电量也会增加，一旦植入木马病毒会使手机比老人家更不耐用。由此可以证明，魅族的手机并没有内置木马病毒。

三：魅族官方澄清，法院方也未将魅族列入名单

魅族官方可能有与所谓的拉活公司有一定的合作，但是很大的几率不是木马程序这一块。毕竟木马程序侵犯了大众的隐私权，法院不可能在公诉了其他几家公司之余不公诉魅族。

综上所述，我认为魅族并没有内置木马病毒的软件，这可能是魅族的一次无妄之灾或者是一场假负面营销增加热度。

木马病毒

以下几种类型的病毒为用户经常会遇到的病毒

◇引导型病毒

◇文件型病毒

◇蠕虫病毒

◇宏病毒

◇木马病毒

1.引导型病毒

引导型病毒是一种感染系统引导区的病毒。引导型病毒利用操作系统的引导模块物力位置固定的特点，抢占据该物理位置，获得系统控制权，而将真正的引导区内容转移或替换，待病毒程序执行后，再将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。由于引导型病毒多使用汇编语言编写，所以执行速度很快，用户很难察觉。

传播方式

引导型病毒通常是通过移动存储介质来传播的，用户只要在相互拷贝文件的时候注意一下，就可以减少感染引导型病毒的机会。

感染对象

引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。MBR病毒也称为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中，典型的病毒有 *** (Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇（即0面0道第1个扇区），典型的病 毒有Brain、小球病毒等。

病毒典型代表——小球病毒

小球病毒是我国发现的之一个计算机病毒，通过使用带有小球病毒的软盘启动计算机，就可以把病毒传染给计算机，再使用该计算机读取没有病毒的软盘，就又会把病毒传染给软盘。小球病毒发作时在屏幕上显示一个小球，呈正弦曲线般跳动，干扰用户的正常使用，可以说算是病毒中比较温和的一个了。

2.文件型病毒

文件型病毒是主要感染可执行文件的病毒，它通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序。

传播方式：

当宿主程序运行时，病毒程序首先运行，然后驻留在内存中，再伺机感染其它的可执行程序，达到传播的目的。

感染对象：

扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。

病毒典型代表——CIH

CIH病毒，别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，主要感染Windows95/98下的可执行文件，在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，危害更大的是v1.2版本，此版本只在每年的4月26日发作，又称为切尔诺贝利病毒（前苏联核事故纪念日）。

CIH病毒只在Windows 95/98环境下感染发作，当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。

3.蠕虫病毒

蠕虫病毒和一般的计算机病毒有着很大的区别，对于它，现在还没有一个成套的理论体系，但是一般认为：蠕虫病毒是一种通过 *** 传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对 *** 造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在 *** 中传播，严重的占用有限的 *** 资源，最终引起整个 *** 的瘫痪，使用户不能通过 *** 进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。

传播方式：

蠕虫病毒常见的传播方式有2种：

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷，通过 *** 主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个 *** 中，这也是是个人计算机被感染的主要途径。

感染对象：

蠕虫病毒一般不寄生在别的程序中，而多作为一个独立的程序存在，它感染的对象是全 *** 中所有的计算机，并且这种感染是主动进行的，所以总是让人防不胜防。在现今全球 *** 高度发达的情况下，一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。

病毒典型代表——震荡波

震荡波（Worm.Sasser）病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时，在本地开辟后门，监听TCP 5554端口，做为FTP服务器等待远程控制命令，黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时，病毒开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

4.宏病毒

宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序，它通常寄存在文档或模板的宏中。宏病毒是一种跨平台的病毒，在Windows, OS/2, Macintosh System等操作系统中均可表现出病毒行为。宏病毒用Word Basic语言编写，Word Basic语言提供了许多系统级底层调用，如使用DOS系统命令， 调用Windows API，调用DDE或DLL等，这些操作均可对系统构成直接威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行，所以宏病毒的危害性极大。

传播方式：

用户一旦打开感染了宏病毒的文档，包含在其中的宏就会被执行，于是宏病毒就会被激活，转移到了计算机上，并将自身复制到文档或者Normal模板中，从此以后，所有被打开或者关闭的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

感染对象：

宏病毒是传染数据文件的病毒，仅向WORD，EXCEL和ACCESS编制的文档进行传染，不会传染可执行文件。但是由于Office软件在全球具有广泛的用户，所以宏病毒的传播仍然十分迅速和广泛。

病毒典型代表——新爱虫

新爱虫病毒的传播主要以Word文档为主，该病毒为周期性爆发，激活病毒的条件是计算机日期为“3、6、9、12”月份，并且日期为5号时，此时病毒会改写C盘下的重要系统文件autoexec.bat，把一条删除C盘数据的命令写进去，当用户重新启动计算机时，就会发觉C盘下的所有文件已被删除，受破坏的用户的损失将不可估量。

5.木马病毒

木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马，因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式：

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有：

伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马

伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马

把自己绑定在正常的程序上面，高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，一旦用户安装winzip程序，就会不知不觉地把木马种下去

伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象：

木马程序感染的对象是整台计算机。

病毒典型代表——网银大盗

网银大盗（Trojan/PSW.HidWebmon）是 2004年4月18日被江民反病毒中心率先截获的木马病毒，该木马偷取XX银行个人网上银行的帐号和密码，发送给病毒作者，给成千上万用户的资金安全带来严重威胁；紧接着，又出现了网银大盗的变种病毒，窃取的网上银行帐号和密码的范围从1家直接扩展到数十家，是木马病毒中具有严重危害性的一个。

祝你好运 ^_^

我想了解一下关于病毒和木马的问题

一种恶意计算机代码，可以破坏系统程序，占用空间，盗取账号密码。严重可以导致 *** 、系统瘫痪

计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性，计算机病毒属于计算机软件

主行为类型与病毒子行为类型

病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。

病毒主行为类型有是否显示的属性，用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系，见下表：

主行为类型子行为类型

Backdoor

危害级别：1

说明：

中文名称—“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的 *** 禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。

Worm

危害级别：2

说明：

中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。

Mail

危害级别：1

说明：通过邮件传播

IM

危害级别：2

说明：通过某个不明确的载体或多个明确的载体传播自己

MSN

危害级别：3

说明：通过MSN传播

***

危害级别：4

说明：通过OICQ传播

ICQ

危害级别：5

说明：通过ICQ传播

P2P

危害级别：6

说明：通过P2P软件传播

IRC

危害级别：7

说明：通过ICR传播

说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。

Trojan

危害级别：3

说明：

中文名称—“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的 *** 禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。

Spy

危害级别：1

说明：窃取用户信息（如：文件等）

PSW

危害级别：2

说明：具有窃取密码的行为

DL

危害级别：3

说明：下载病毒并运行

一、判定条款：

没有可调出的任何界面，逻辑功能为：从某网站上下载文件加载或运行。

二、逻辑条件引发的事件：

事件1..不能正常下载或下载的文件不能判定为病毒。

操作准则:该文件不能符合正常软件功能组件标识条款的，确定为：Trojan.DL

事件2.下载的文件是病毒

操作准则： 下载的文件是病毒,确定为：Trojan.DL

IMMSG

危害级别：4

说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）

MSNMSG

危害级别：5

说明：通过MSN传播即时消息

*** MSG

危害级别：6

说明：通过OICQ传播即时消息

ICQMSG

危害级别：7

说明：通过ICQ传播即时消息

UCMSG

危害级别：8

说明：通过UC传播即时消息

Proxy

危害级别：9

说明：将被感染的计算机作为 *** 服务器

Clicker

危害级别：10

说明：点击指定的网页

判定条款:

没有可调出的任何界面，逻辑功能为：点击某网页。

操作准则：

该文件不符合正常软件功能组件标识条款的，确定为：Trojan.Clicker。

(该文件符合正常软件功能组件标识条款，就参考流氓软件判定规则进行流氓软件判定)

Dialer

危害级别：12

说明：通过拨号来骗取Money的程序

说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述

AOL

按照原来病毒名命名保留。

Notifier

按照原来病毒名命名保留。

Virus

危害级别：4

说明：中文名称—“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。

Harm

危害级别：5

说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。

Dropper

危害级别：6

说明：中文名称—“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。

一．Dropper判定条款:

没有可调出的任何界面，逻辑功能为：自释放文件加载或运行。

二．逻辑条件引发的事件：

事件1：。释放的文件不是病毒。

操作准则：释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper

事件2：释放的文件是病毒。

操作准则：释放的文件是病毒，确定该文件为：Droper

Hack

危害级别：无

说明：中文名称—“黑客工具”，是指可以在本地计算机通过 *** 攻击其他计算机的工具。

Exploit

说明：漏洞探测攻击工具

DDoser

说明：拒绝服务攻击工具

Flooder

说明：洪水攻击工具

说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述

Spam

说明：垃圾邮件。

Nuker

Sniffer

Spoofer

Anti

说明：免杀的黑客工具

Binder

危害级别：无

说明：捆绑病毒的工具

正常软件功能组件标识条款：被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件：文件版本信息，软件信息（注册表键值、安装目录）等。

Autorun

危害级别：9

说明：用U盘传播的系统文件（被利用）

这样的病毒杀毒软件查不出来

宿主文件

宿主文件是指病毒所使用的文件类型，有是否显示的属性。目前的宿主文件有以下几种。

*** 说明：JavaScript脚本文件

VBS 说明：VBScript脚本文件

HTML 说明：HTML文件

Java 说明：Java的Class文件

COM 说明：Dos下的Com文件

EXE 说明：Dos下的Exe文件

Boot 说明：硬盘或软盘引导区

Word 说明：MS公司的Word文件

Excel 说明：MS公司的Excel文件

PE 说明：PE文件

WinREG 说明：注册表文件

Ruby 说明：一种脚本

Python 说明：一种脚本

BAT 说明：BAT脚本文件

IRC 说明：IRC脚本

主名称

病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。

版本信息

版本信息只允许为数字，对于版本信息不明确的不加版本信息。

主名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a—z，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

附属名称

病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到病毒库中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：

Client 说明：后门程序的控制端

KEY_HOOK 说明：用于挂接键盘的模块

API_HOOK 说明：用于挂接API的模块

Install 说明：用于安装病毒的模块

Dll 说明：文件为动态库，并且包含多种功能

（空） 说明：没有附属名称，这条记录是病毒主体记录

附属名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

病毒长度

病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。

病毒·欺骗：警惕程度★★★，蠕虫病毒，通过邮件传播，依赖系统：WIN9X/NT/2000/XP。

此病毒用VB语言编写，运行后可能把自己复制到多个系统文件夹的任意一个中，病毒文件名随机产生，文件类型不定。可终止多种反病毒软件的运行。向外大量发送带毒邮件，标题可能为“Your Details”、“You Have been Hacked!”、“Mail Send Fail”等，邮件附件就是病毒。

反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

特洛伊木马病毒有何危害？

木马是一个有用的,或表面上有用的程序或命令过程,包含了一段隐藏的、激活时进行某种不想要的或者有害的功能的代码。它的危害性是可以用来非直接地完成一些非授权用户不能直接完成的功能。洛伊木星马的另一动机是数据破坏,程序看起来是在完成有用的功能(如：计算器程序),但它也可能悄悄地在删除用户文件,直至破坏数据文件,这是一种非常常见的病毒攻击。