因好莱坞大片《特洛伊》而一举成名的“木马”(Trojan),在互联网时代让无数网民深受其害。无论是“ *** ”、“网银”还是“网游”的账户密码,只要与钱有关的 *** 交易,都是当下木马攻击的重灾区,用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。
No1:“支付大盗”
“支付大盗”花钱上百度首页。
2012年12月6日,一款名为“支付大盗”的新型 *** 木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”,诱骗网友下载运行木马,再暗中劫持受害者网上支付资金,把付款对象篡改为黑客账户。
No2:“新鬼影”
“新鬼影”借《江南Style》疯传。
火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR(主引导扇区)中,如果用户电脑没有开启安全软件防护,中招后无论重装系统还是格式化硬盘,都无法将其彻底清除干净。
No3:“图片大盗”
“图片大盗”更爱私密照。
绝大多数网民都有一个困惑,为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片,并筛选大小在100KB到2MB之间的文件,暗中将其发送到黑 *** 务器上,对受害者隐私造成严重危害。
No4:“浮云”
“浮云”木马震惊全国。
盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单,却在后台执行另外一个高额定单,用户确认后,高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃
No5:“黏虫”
“黏虫”木马专盗 *** 。
“ *** 黏虫”在2011年度就被业界评为十大高危木马之一,2012年该木马变种卷土重来,伪装成 *** 登录框窃取用户 *** 帐号及密码。值得警惕的是不法分子盗窃 *** 后,除了窃取帐号关联的虚拟财产外,还有可能假冒身份向被害者的亲友借钱。
No6:“怪鱼”
“怪鱼”木马袭击微博。
2012年十一长假刚刚结束,一种名为“怪鱼”的新型木马开始肆虐 *** 。该木马充分利用了新兴的社交 *** ,在中招电脑上自动登录受害者微博帐号,发布虚假中奖等钓鱼网站链接,绝对是2012年更具欺骗性的钓鱼攻击方式之一。
No7:“打印机木马”
“打印机木马”疯狂消耗纸张。
2012年6月,号称史上最不环保的“打印机木马”(Trojan.Milicenso)现身,美国、印度、北欧等地区大批企业电脑中招,导致数千台打印机疯狂打印毫无意义的内容,直到耗完纸张或强行关闭打印机才会停止。
No8:“网银刺客”
“网银刺客”木马暗算多家网银。
2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发,该木马恶意利用某截图软件,把正当合法软件作为自身保护伞,从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金,影响十余家主流网上银行。
No9:“遥控弹窗机”
“遥控弹窗机”木马爱上偷菜。
“遥控弹窗机”是一款伪装成“ *** 农牧餐大师”等游戏外挂的恶意木马,运行后会劫持正常的 *** 弹窗,不断弹出大量低俗页面及 *** 钓鱼弹窗,并暗中与黑 *** 务器连接,随时获取更新指令,使受害者面临 *** 帐号被盗、个人隐私泄露的危险。
No10:“Q币木马”
“Q币木马”元旦来袭。
新年历来是木马病毒活跃的高峰期,2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假 *** 弹窗,诱骗中招用户在Q币充值页面上进行支付,充值对象则被木马篡改为黑客的 *** 号码,相当于掏钱替黑客买Q币。
No11: “修改中奖号码”
2009年6月,深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点,深圳市某技术公司软件开发工程师程某,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。
NO.1 “CIH病毒”
爆发年限:1998年6月
CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。
损失估计:全球约5亿美元
NO.2 “梅利莎(Melissa)”
爆发年限:1999年3月
梅利莎(1999年)是通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件,就会使病毒感染主机并且重复自我复制。
损失估计:全球约3亿--6亿美元
NO.3 “爱虫(Iloveyou)”
爆发年限:2000年
爱虫(2000年)是通过Outlook电子邮件系统传播,邮件主题为“I Love You”,包含附件“
Love-Letter-for-you.txt.vbs”。打开病毒附件后,该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本,阻塞邮件服务器,同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。
损失估计:全球超过100亿美元
NO.4 “红色代码(CodeRed)”
爆发年限:2001年7月
红色代码(2001年)是一种计算机蠕虫病毒,能够通过 *** 服务器和互联网进行传播。2001年7月13日,红色代码从 *** 服务器上传播开来。它是专门针对运行微软互联网信息服务软件的 *** 服务器来进行攻击。极具讽刺意味的是,在此之前的六月中旬,微软曾经发布了一个补丁,来修补这个漏洞。
被它感染后,遭受攻击的主机所控制的 *** 站点上会显示这样的信息:“你好!欢迎光临!”。随后病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。不到一周感染了近40万台服务器,100万台计算机受到感染。
损失估计:全球约26亿美元
NO.5 “冲击波(Blaster)”
爆发年限:2003年夏季
冲击波(2003年)于2003年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找 *** 上系统为Win2K或XP的计算机,找到后利用DCOM RPC缓冲区漏洞攻击该系统,一旦成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。
另外该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。
损失估计:数百亿美元
NO.6 “巨无霸(Sobig)”
爆发年限:2003年8月
巨无霸(2003年)是通过局域网传播,查找局域网上的所有计算机,并试图将自身写入网上各计算机的启动目录中以进行自启动。该病毒一旦运行,在计算机联网的状态下,就会自动每隔两小时到某一指定网址下载病毒,同时它会查找电脑硬盘上所有邮件地址,向这些地址发送标题如:"Re: Movies"、"Re: Sample"等字样的病毒邮件进行邮件传播,该病毒还会每隔两小时到指定网址下载病毒,并将用户的隐私发到指定的邮箱。
由于邮件内容的一部分是来自于被感染电脑中的资料,因此有可能泄漏用户的机密文件,特别是对利用局域网办公的企事业单位,更好使用 *** 版杀毒软件以防止重要资料被窃取!
损失估计:50亿--100亿美元
NO.7 “MyDoom”
爆发年限:2004年1月
MyDoom(2004年)是一例比“巨无霸病毒”更厉害的病毒体,在2004年1月26日爆发,在高峰时期,导致 *** 加载时间减慢50%以上。它会自动生成病毒文件,修改注册表,通过电子邮件进行传播,并且它还会尝试从多个URL下载并执行一个后门程序,如下载成功会将其保存在Windows文件夹中,名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机。
损失估计:百亿美元
NO.8 “震荡波(Sasser)”
爆发年限:2004年4月
震荡波(2004年)于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失,也让所有人记住了04年的4月,该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播,我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。
损失估计:5亿--10亿美元
NO.9 “熊猫烧香(Nimaya)”
爆发年限:2006年
熊猫烧香(2006年)准确的说是在06年年底开始大规模爆发,以Worm.WhBoy.h为例,由Delphi工具编写,能够终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,导致用户一打开这些网页文件,IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播,并且利用Windows系统的自动播放功能来运行。
损失估计:上亿美元
NO.10 “网游大盗”
爆发年限:2007年
网游大盗(2007年)是一例专门盗取 *** 游戏帐号和密码的病毒,其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的“网游大盗”变种jws是“网游大盗”木马家族最新变种之一,采用VisualC++编写,并经过加壳处理。“网游大盗”变种jws运行后,会将自我复制到Windows目录下,自我注册为“Windows_Down”系统服务,实现开机自启。
一、 *** 公牛。 *** 公牛又名Netbull,是国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽,危害很大。同时,服务端运行后会自动捆绑以下文件: win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe。 winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe;winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件(如:realplay.exe、 *** 、ICQ等)。在注册表中 *** 公牛也悄悄地扎下了根,如下: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来, *** 公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。 清除 *** : 1、删除 *** 公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把 *** 公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。 3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始-附件-系统工具-系统信息-工具-系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、 *** 、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。 二、 *** 神偷(Nethief) *** 神偷又名Nethief,是之一个反弹端口型木马! 什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧, 嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马, *** 神偷已经开始流行!中木马者也日益增多,大家要小心哦! 清除 *** : 1、 *** 神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK,神偷完蛋了! 三、WAY2.4(火凤凰、无赖小子) WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们的威胁就更大了。从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来,WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\system\msgsvc.exe赫然在列! 清除 *** : 要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了! 注意:在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载,sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 清除 *** : 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生” *** 小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。 清除 *** : 1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它。 2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。 3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices,删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极? 哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢! Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易! 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易! 清除 *** : 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除键值“MainBroad BackManager”,其值为C:\WINDOWS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软! 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1,因此要恢复成原值:C:\WINDOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。 好了,可以和聪明基因说“再见”了! 七、黑洞2001 黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。 黑洞2001服务端被执行后,会在C:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件在机器开机时立刻运行,并打开默认端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入! 清除 *** : 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy( *** 精灵) Netspy又名 *** 精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。 清除 *** : 1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe 回车! 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\,删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。 清除 *** : 1、打开注册表Regedit,点击至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器="C:\windows\system\***"。注:加载器和文件名是随意改变的。 2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。 3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。 4、重新启动Windows,删除相对应的木马程序,一般在C:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。
06上半年十大病毒排行榜出炉 灰鸽子成毒王
自从之一个计算机病毒爆发以来,已经过去了20年左右的时间。《InformationWeek》最近评出了迄今为止破坏程度最为严重的十大病毒。
上个世纪80年代上半期,计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去,但绝大多数都被研究人员严格地控制在了实验室中。随后,“大脑” (Brain)病毒出现了。1986年年初,人们发现了这种计算机病毒,它是之一个PC病毒,也是能够自我复制的软件,并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量,Brain的传播速度几乎是缓慢地爬行,但是无论如何,它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。
CIH
估计损失:全球约2,000万~8,000万美元,计算机的数据损失没有统计在内。
CIH病毒1998年6月爆发于中国台湾,是公认的有史以来危险程度更高、破坏强度更大的病毒之一。
CIH感染Windows 95/98/ME等操作系统的可执行文件,能够驻留在计算机内存中,并据此继续感染其他可执行文件。
CIH的危险之处在于,一旦被激活,它可以覆盖主机硬盘上的数据并导致硬盘失效。它还具备覆盖主机BIOS芯片的能力,从而使计算机引导失败。由于能够感染可执行文件,CIH更是借众多软件分销商之力大行其道,其中就包括Activision游戏公司一款名为“原罪”(Sin)游戏的演示版。
CIH一些变种的触发日期恰好是切尔诺贝利核电站事故发生之日,因此它也被称为切尔诺贝利病毒。但它不会感染Windows 2000/XP/NT等操作系统,如今,CIH已经不是什么严重威胁了。
梅利莎(Melissa)
损失估计:全球约3亿~6亿美元
1999年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用 PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,为了防止损害,他们被迫关闭整个电子邮件系统。
梅利莎通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。
该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件(成千上万毫无疑虑的用户都是这么做的),就会使病毒感染主机并且重复自我复制。
更加令人恼火的事情还在后头——一旦被激活,病毒就用动画片《辛普森一家》(The Simpsons)的台词修改用户的Word文档。
我爱你(ILOVEYOU)
损失估计:全球约100亿~150亿美元
又称情书或爱虫。它是一个Visual Basic脚本,设计精妙,还有令人难以抗拒的诱饵——爱的诺言。
2000年5月3日,“我爱你”蠕虫病毒首次在香港被发现。
“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。和梅利莎类似,病毒也向Microsoft Outlook通讯簿中的联系人发送自身。
它还大肆复制自身覆盖音乐和图片文件。更可气的是,它还会在受到感染的机器上搜索用户的账号和密码,并发送给病毒作者。
由于当时菲律宾并无制裁编写病毒程序的法律,“我爱你”病毒的作者因此逃过一劫。
红色代码(Code Red)
损失估计:全球约26亿美元
“红色代码”是一种计算机蠕虫病毒,能够通过 *** 服务器和互联网进行传播。2001年7月13日,红色代码从 *** 服务器上传播开来。它是专门针对运行微软互联网信息服务软件的 *** 服务器来进行攻击。极具讽刺意味的是,在此之前的六月中旬,微软曾经发布了一个补丁,来修补这个漏洞。
“红色代码”还被称为Bady,设计者蓄意进行更大程度的破坏。被它感染后,遭受攻击的主机所控制的 *** 站点上会显示这样的信息:“你好!欢迎光临 !”。随后,病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务 (DoS)攻击。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。
SQL Slammer
损失估计:由于SQL Slammer爆发的日期是星期六,破坏所造成的金钱损失并不大。尽管如此,它仍然冲击了全球约50万台服务器,韩国的在线能力瘫痪长达12小时。
SQL Slammer也被称为“蓝宝石”(Sapphire),2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒,给互联网的流量造成了显而易见的负面影响。有意思的是,它的目标并非终端计算机用户,而是服务器。它是一个单包的、长度为376字节的蠕虫病毒,它随机产生IP地址,并向这些IP地址发送自身。如果某个IP地址恰好是一台运行着未打补丁的微软SQL服务器桌面引擎(SQL Server Desktop Engine)软件的计算机,它也会迅速开始向随机IP地址的主机开火,发射病毒。
正是运用这种效果显著的传播方式,SQL Slammer在十分钟之内感染了7.5万台计算机。庞大的数据流量令全球的路由器不堪重负,如此循环往复,更高的请求被发往更多的路由器,导致它们一个个被关闭。
冲击波(Blaster)
损失估计:20亿~100亿美元,受到感染的计算机不计其数。
对于依赖计算机运行的商业领域而言,2003年夏天是一个艰难的时期。一波未平,一波又起。IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。“冲击波”(又称“Lovsan”或“MSBlast”)首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播,两天之内就达到了攻击顶峰。病毒通过 *** 连接和 *** 流量传播,利用了Windows 2000/XP的一个弱点进行攻击,被激活以后,它会向计算机用户展示一个恶意对话框,提示系统将关闭。在病毒的可执行文件MSBLAST.EXE代码中隐藏着这些信息:“桑(San),我只想说爱你!”以及“比尔?盖茨(Bill Gates)你为什么让这种事情发生?别再敛财了,修补你的软件吧!”
病毒还包含了可于4月15日向Windows升级网站(Windowsupdate.com)发起分布式DoS攻击的代码。但那时,“冲击波”造成的损害已经过了高峰期,基本上得到了控制。
霸王虫(Sobig.F)
损失估计:50亿~100亿美元,超过100万台计算机被感染.。
“冲击波”一走,“霸王虫”蠕虫便接踵而至,对企业和家庭计算机用户而言,2003年8月可谓悲惨的一月。更具破坏力的变种是Sobig.F,它8月 19日开始迅速传播,在最初的24小时之内,自身复制了100万次,创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后,这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。
2003年9月10日,病毒禁用了自身,从此不再成为威胁。为得到线索,找出Sobig.F病毒的始作俑者,微软宣布悬赏25万美元,但至今为止,这个作恶者也没有被抓到。
Bagle
损失估计:数千万美元,并在不断增加
Bagle是一个经典而复杂的蠕虫病毒,2004年1月18日首次露面。这个恶意代码采取传统的机制——电子邮件附件感染用户系统,然后彻查视窗(Windows)文件,寻找到电子邮件地址发送以复制自身。
Bagle(又称Beagle)及其60~100个变种的真正危险在于,蠕虫感染了一台计算机之后,便在其TCP端口开启一个后门,远程用户和应用程序利用这个后门得到受感染系统上的数据(包括金融和个人信息在内的任何数据)访问权限。据2005年4月,TechWeb.com的一篇文章称,这种蠕虫 “通常被那帮为了扬名而不惜一切手段的黑客们称为‘通过恶意软件获利运动’的始作俑者”。
Bagle.B变种被设计成在2004年1月28日之后停止传播,但是到目前为止还有大量的其他变种继续困扰用户。
MyDoom
损失估计:在其爆发的高峰期,全球互联网的速度性能下降了10%,网页的下载时间增加了50%。
2004年1月26日几个小时之间,MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播,顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做Norvarg,它传播自身的方式极为迂回曲折:它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件,单击这个附件,它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户 *** 账户的共享文件夹来进行传播。
这个复制进程相当成功,计算机安全专家估计,在受到感染的最初一个小时,每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播。
震荡波(Sasser)
损失估计:数千万美元
“震荡波”自2004年8月30日起开始传播,其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班,全球范围内的许多公司不得不关闭了系统。
与先前多数病毒不同的是,“震荡波”的传播并非通过电子邮件,也不需要用户的交互动作。
“震荡波”病毒是利用了未升级的Windows 2000/XP系统的一个安全漏洞。一旦成功复制,蠕虫便主动扫描其他未受保护的系统并将自身传播到那里。受感染的系统会不断发生崩溃和不稳定的情况。
“震荡波”是德国一名17岁的高中生编写的,他在18岁生日那天释放了这个病毒。由于编写这些代码的时候他还是个未成年人,德国一家法庭认定他从事计算机破坏活动,仅判了缓刑。
自从之一个计算机病毒爆发以来,已经过去了20年左右的时间。《InformationWeek》最近评出了迄今为止破坏程度最为严重的十大病毒。 上个世纪80年代上半期,计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去,但绝大多数都被研究人员严格地控制在了实验室中。随后,“大脑”(Brain)病毒出现了。1986年年初,人们发现了这种计算机病毒,它是之一个PC病毒,也是能够自我复制的软件,并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量,Brain的传播速度几乎是缓慢地爬行,但是无论如何,它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。
有没有更高的,这9大新浪博客博主每天点击量以亿万计。 股民收看收听大牌博主分析行情。上个月在北京有新浪财经博客电击量排名前10位的一个聚会。 徐小明和wu2198的博客,不是一,每次打开后就能看到。 1徐小明的BLOG徐小明。研判板块与个股走势。 点击率1徐小明的BLOG徐小明,或者你点击F5刷新,...
手术的价格都是在4500,我想要注射保妥适瘦脸针,打瘦脸针大概需要多少费用,如果您要打瘦脸针的需要找到正规医院打这样才能保证瘦脸针的真假还有。 想问一下手术的价格是多少,根据您的情况来看,注射保妥适瘦脸针,2017,瘦脸针的价格瘦脸针一针多少钱2277次阅读,那么保妥适瘦脸针的费用是多少呢想了解这一...
平常穿3买36码会不会小了,貌似听说匡威的帆。 我35的脚穿他家所谓35的鞋子其实就跟穿36一样。 所以匡威35码对应的中国尺码应该是38码.鉴于。 给你个参考吧我一般穿39的鞋匡威的话35稍宽松37长度正好但略挤,正版匡威鞋码偏大。匡威的鞋码一般比国内的鞋码大半码。 40的,是41码,鞋偏窄,如果...
宋林和靖尝茶次寄越僧灵皎白云峰下两枪新,江国多寒农事晚。清郑板桥七言诗不风不雨正晴和,千回来绕百回看。梨花开谢杏花残,寄包。朱有炖元宫词,诗词。莺为使,石渚收机巧。 无来又隔年,越禽牢闭口。清和易晚天,白发卢郎情未已。明,春逢谷雨晴。愿与松色,谢中上人寄茶唐·齐己春山谷雨前。天点纷林际。 最爱晚凉佳...
廖记棒棒鸡”白色字体大红作底的店招非常引人注目。 真材实料的廖记棒棒鸡更是成都人最熟悉的味,廖记棒棒鸡。 成都廖记棒棒鸡棒棒鸡的做法侃膳斋棒棒鸡廖记棒棒鸡招聘川菜棒棒。 中国知名熟食连锁品牌,侃膳斋棒棒鸡是骗子吗提问前缀。 最后又出来个廖记,但是字有区别,廖记棒棒鸡就分成了2家。目前在全国拥有500...
我的是台式机实在没法就把独立显卡拔了用集成的了不知道你的笔记本是双显卡吗按照教程修改一,因为黑苹果有时候的驱动很难找,技嘉板的构造规格和苹果接近,像安装win7那样啊。 只要是双核以上就可以,问题应该出现在苹果系统本身。 黑苹果需要主板,但不会像安装win7那样。如果有自检画面就说明电脑本身没问题。...