因好莱坞大片《特洛伊》而一举成名的“木马”(Trojan),在互联网时代让无数网民深受其害。无论是“ *** ”、“网银”还是“网游”的账户密码,只要与钱有关的 *** 交易,都是当下木马攻击的重灾区,用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。
No1:“支付大盗”
“支付大盗”花钱上百度首页。
2012年12月6日,一款名为“支付大盗”的新型 *** 木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”,诱骗网友下载运行木马,再暗中劫持受害者网上支付资金,把付款对象篡改为黑客账户。
No2:“新鬼影”
“新鬼影”借《江南Style》疯传。
火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR(主引导扇区)中,如果用户电脑没有开启安全软件防护,中招后无论重装系统还是格式化硬盘,都无法将其彻底清除干净。
No3:“图片大盗”
“图片大盗”更爱私密照。
绝大多数网民都有一个困惑,为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片,并筛选大小在100KB到2MB之间的文件,暗中将其发送到黑 *** 务器上,对受害者隐私造成严重危害。
No4:“浮云”
“浮云”木马震惊全国。
盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单,却在后台执行另外一个高额定单,用户确认后,高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃
No5:“黏虫”
“黏虫”木马专盗 *** 。
“ *** 黏虫”在2011年度就被业界评为十大高危木马之一,2012年该木马变种卷土重来,伪装成 *** 登录框窃取用户 *** 帐号及密码。值得警惕的是不法分子盗窃 *** 后,除了窃取帐号关联的虚拟财产外,还有可能假冒身份向被害者的亲友借钱。
No6:“怪鱼”
“怪鱼”木马袭击微博。
2012年十一长假刚刚结束,一种名为“怪鱼”的新型木马开始肆虐 *** 。该木马充分利用了新兴的社交 *** ,在中招电脑上自动登录受害者微博帐号,发布虚假中奖等钓鱼网站链接,绝对是2012年更具欺骗性的钓鱼攻击方式之一。
No7:“打印机木马”
“打印机木马”疯狂消耗纸张。
2012年6月,号称史上最不环保的“打印机木马”(Trojan.Milicenso)现身,美国、印度、北欧等地区大批企业电脑中招,导致数千台打印机疯狂打印毫无意义的内容,直到耗完纸张或强行关闭打印机才会停止。
No8:“网银刺客”
“网银刺客”木马暗算多家网银。
2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发,该木马恶意利用某截图软件,把正当合法软件作为自身保护伞,从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金,影响十余家主流网上银行。
No9:“遥控弹窗机”
“遥控弹窗机”木马爱上偷菜。
“遥控弹窗机”是一款伪装成“ *** 农牧餐大师”等游戏外挂的恶意木马,运行后会劫持正常的 *** 弹窗,不断弹出大量低俗页面及 *** 钓鱼弹窗,并暗中与黑 *** 务器连接,随时获取更新指令,使受害者面临 *** 帐号被盗、个人隐私泄露的危险。
No10:“Q币木马”
“Q币木马”元旦来袭。
新年历来是木马病毒活跃的高峰期,2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假 *** 弹窗,诱骗中招用户在Q币充值页面上进行支付,充值对象则被木马篡改为黑客的 *** 号码,相当于掏钱替黑客买Q币。
No11: “修改中奖号码”
2009年6月,深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点,深圳市某技术公司软件开发工程师程某,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。
一、 *** 公牛。 *** 公牛又名Netbull,是国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽,危害很大。同时,服务端运行后会自动捆绑以下文件: win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe。 winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe;winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件(如:realplay.exe、 *** 、ICQ等)。在注册表中 *** 公牛也悄悄地扎下了根,如下: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来, *** 公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。 清除 *** : 1、删除 *** 公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把 *** 公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。 3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始-附件-系统工具-系统信息-工具-系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、 *** 、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。 二、 *** 神偷(Nethief) *** 神偷又名Nethief,是之一个反弹端口型木马! 什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧, 嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马, *** 神偷已经开始流行!中木马者也日益增多,大家要小心哦! 清除 *** : 1、 *** 神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK,神偷完蛋了! 三、WAY2.4(火凤凰、无赖小子) WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们的威胁就更大了。从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来,WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\system\msgsvc.exe赫然在列! 清除 *** : 要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了! 注意:在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载,sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 清除 *** : 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生” *** 小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。 清除 *** : 1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它。 2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。 3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices,删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极? 哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢! Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易! 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易! 清除 *** : 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除键值“MainBroad BackManager”,其值为C:\WINDOWS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软! 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1,因此要恢复成原值:C:\WINDOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。 好了,可以和聪明基因说“再见”了! 七、黑洞2001 黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。 黑洞2001服务端被执行后,会在C:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件在机器开机时立刻运行,并打开默认端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入! 清除 *** : 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy( *** 精灵) Netspy又名 *** 精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。 清除 *** : 1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe 回车! 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\,删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。 清除 *** : 1、打开注册表Regedit,点击至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器="C:\windows\system\***"。注:加载器和文件名是随意改变的。 2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。 3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。 4、重新启动Windows,删除相对应的木马程序,一般在C:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。
我的电脑中过很多的木马病毒,原因就是误点广告,误点网站造成的,还有的原因就是在网吧上过网。
什么是木马?
木马实际上是一种远程控制软件,国外叫特洛依,名字的来源是由于古代攻城的时候,由埋伏在城里的“特洛依”,国外的叫法,应该是伪装的起来的兵士,接应城外的军队攻克城堡。所以“木马”一词应该含有“隐蔽”和“接应”的意思。
国外比较有名的木马是前几年流行的“冰河”,这是一个比较优秀的国产木马。现在木马有很多种,象“广外幽灵”,“蓝色火焰”,“ *** 神偷”等,最近又新出一个比较优秀的国产木马程序-“灰鸽子”。
木马的神奇之处在于其隐蔽性和强大的 *** 通讯功能。在现在,很多木马已经变成了病毒的一种,成为各种杀毒软件追杀的对象。不过这只限于那些知道的木马,又很多未知或新出的木马程序一时还查杀不了。
木马是一种运行在计算机中的程序,一个木马程序通常由两部分组成:客户端和服务端。服务端是运行在被控制计算机上的程序,通常做得很小而且很隐蔽,以病毒的形式存在,开机的时候可以自动随计算机启动,没有专门的查杀软件或者不经过细致的分析很难查杀。而客户端则是安装在控制方使用机器上的一个程序,通常都做成图形界面,这样,在安装了客户端的机器上就可以操纵安装了服务端的机器(或者称中了木马病毒的机器),象查看对方的屏幕,窃取对方的密码,让对方死机等等,总之,凡是程序可以达到的功能,木马都可以做到,这就是所谓的远程控制,即用一台机器控制另外一台机器,只要这两台机器可以互相访问。
木马的传输协议一般采用TCP/IP通讯协议,象常用的 *** 通讯软件,也是采用该协议,还有采用UDP协议的。
木马一般都是很隐蔽的,现在的木马功能越来越强,而且不容易发现,中了木马的机器是很危险的,因为你很有可能已经被另外一个人操纵了你的机器,这样你的密码等机密就可能泄漏。
对付木马比较有效的办法是安装防火墙,但防火墙也不安全,因为有些木马已经有针对性地破坏防火墙的某些功能,可以穿过防火墙和外界发生连接。
很多电脑初学者被人装了木马程序也不知道,所以,安全问题是最重要的,除了用杀毒软件查杀外,还要平时留心一点,这样能更有效的保护你的信息不致泄漏。
NRD系列网游窃贼
类型:盗号木马
危害:通过各种木马下载器进入用户电脑,利用键盘钩子等技术盗取地下城与勇士、魔兽世界、传奇世界等多款热门网游的账号和密码信息,还能够对受害用户的电脑屏幕截图、窃取用户存储在电脑上的图片文档和文本文档,以此破解游戏密保卡,并在后台将这些敏感信息发送到指定的服务器或邮箱中。
360安全卫士全年累计查杀量:152509102
二、“犇牛”下载器
类型:木马下载器
危害:牛年新春佳节爆发的“犇牛”堪称全年危害更大的恶意软件,它在全局劫持dll文件、感染多种类型压缩文件的基础上,综合了“熊猫烧香”在网页文件插入“网马”、局域网ARP攻击等传播手段,此外还有“磁碟机”式自动更新、“AV终结者”式强制关闭面板控件、“机器狗”式穿透还原卡的驱动技术、U盘木马的伪装和传播手段,并下载数十款盗号木马和广告程序进入受害用户电脑,堪称牛年破坏力最强、最邪恶的木马。
360安全卫士全年累计查杀量:119995842
三、IE首页劫匪
类型:广告木马
危害:具有流氓性质的IE首页劫匪在2009年格外活跃,这类广告木马的数量、感染用户规模甚至已经迫近网游盗号木马,它们的行为也具备高度的一致性,就是强制修改IE浏览器的首页为指定的网站,并在电脑桌面上生成恶意的浏览器快捷方式。IE首页劫匪的传播方式也五花八门,有的通过木马下载器侵入网民电脑,有的和不良网站提供的软件、视频等资源捆绑在一起,甚至还和大型游戏的安装文件捆绑,通过 *** 下载进行传播。
360安全卫士全年累计查杀量:100160913
四、文件夹模仿者
类型:U盘木马
危害:这是一类通过U盘等移动存储介质传播的木马程序,通常是由木马下载器创建的用于传播木马的功能组件,在打印店等频繁使用U盘的场所特别常见,受感染的学生用户群体也格外多。文件夹模仿者会将自己伪装成U盘中的文件夹,并把正常的文件夹设置为“隐藏”,从而欺骗用户点击,这样的话,即使用户禁止了U盘自动播放,文件夹模仿者仍然能运行起来,并且把它的母体木马下载器感染到电脑的其他磁盘中。
360安全卫士全年累计查杀量:77719535
五、魔兽密保克星
类型:盗号木马
危害:这类盗号木马将自己伪装为游戏的运行程序,针对热门网游《魔兽世界》,魔兽密保克星会把真正的wow.exe改名后设置为隐藏文件,木马却堂而皇之的以wow.exe的名称摆在玩家面前。如果玩家不加注意运行了木马,即使账号绑定了密码保护卡,游戏角色仍然会被盗取。
360安全卫士全年累计查杀量:73583440次
六、Gh0st肉鸡程序
类型:远程控制木马
危害:在2009年,Gh0st取代灰鸽子成为“肉鸡”控制最主流的黑客工具。由于该木马已经开源,各种修改版和变种更是层出不穷。和灰鸽子类似,Gh0st同样能监视受害用户的电脑屏幕、记录键盘操作、随意查看和盗取中招用户的资料,甚至自动开启用户电脑上的摄像头进行 *** 。
360安全卫士全年累计查杀量:52150554次
七、“母马”下载器
类型:木马下载器
危害:2009年1月出现的“母马”下载器采取“机器狗”式的穿透还原技术,感染系统文件实现自启动,可以穿透冰点、影子等系统还原软件,并具备更强的自我更新和变异能力:即便运行同一个“母马”样本,它所感染的系统文件都会出现不同的变化,感染方式和特征也随之变化。更特别的是,“母马”善于自动繁殖数千个子木马,将主进程文件藏身在其中,以此逃避安全软件的追杀,进而下载大量盗号木马及风险程序。
360安全卫士全年累计查杀量:24550339
八、 *** 消息木马插件
类型:诈骗程序
危害:这类诈骗程序高发于2009年前半年,通常借挂马、木马下载器等方式侵入网民电脑。它会把桌面右下角真正的 *** 图标隐藏起来,再将自己伪造为不断闪烁提示的 *** 消息,当受害用户点开消息后便弹窗推广中奖消息类的钓鱼网站,从而以保证金、手续费等名义诈骗受害用户钱财。
360安全卫士全年累计查杀量:20287859
九、“山寨熊猫”下载器
类型:木马下载器
危害:“山寨熊猫”从行为特征上最接近于当年肆虐一时的“熊猫烧香”,它会全盘感染exe类型可执行文件,对受害用户的电脑系统杀伤力极强,一旦运行起来就会占用大量CPU资源,甚至有可能导致电脑系统瘫痪死机。一些杀毒厂商也将“山寨熊猫”命名为“宝马下载器”。
360安全卫士全年累计查杀量:18201728
十、“执照凶手”下载器
类型:木马下载器
危害:2009年底危害更大的木马。它首次采用了真实的数字签名实现“免杀”,能突破几乎所有杀毒软件的防护,同时通过感染 *** 和迅雷等常用软件实现强行二次启动,因而具备空前的“免杀”能力和超强的隐蔽生存能力。单纯以查杀量计算,“执照凶手”并不能进入年度十大木马排行榜,但木马用上真实有效的数字签名,无疑是为安全行业敲响了警钟,甚至比犇牛、母马等顽固木马更值得人们警惕。
360安全卫士全年累计查杀量:1375166
以下几种类型的病毒为用户经常会遇到的病毒
◇引导型病毒
◇文件型病毒
◇蠕虫病毒
◇宏病毒
◇木马病毒
1.引导型病毒
引导型病毒是一种感染系统引导区的病毒。引导型病毒利用操作系统的引导模块物力位置固定的特点,抢占据该物理位置,获得系统控制权,而将真正的引导区内容转移或替换,待病毒程序执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。由于引导型病毒多使用汇编语言编写,所以执行速度很快,用户很难察觉。
传播方式
引导型病毒通常是通过移动存储介质来传播的,用户只要在相互拷贝文件的时候注意一下,就可以减少感染引导型病毒的机会。
感染对象
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中,典型的病毒有 *** (Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇(即0面0道第1个扇区),典型的病 毒有Brain、小球病毒等。
病毒典型代表——小球病毒
小球病毒是我国发现的之一个计算机病毒,通过使用带有小球病毒的软盘启动计算机,就可以把病毒传染给计算机,再使用该计算机读取没有病毒的软盘,就又会把病毒传染给软盘。小球病毒发作时在屏幕上显示一个小球,呈正弦曲线般跳动,干扰用户的正常使用,可以说算是病毒中比较温和的一个了。
2.文件型病毒
文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式:
当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
感染对象:
扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。
病毒典型代表——CIH
CIH病毒,别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,主要感染Windows95/98下的可执行文件,在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,危害更大的是v1.2版本,此版本只在每年的4月26日发作,又称为切尔诺贝利病毒(前苏联核事故纪念日)。
CIH病毒只在Windows 95/98环境下感染发作,当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的Flash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。
3.蠕虫病毒
蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过 *** 传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对 *** 造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在 *** 中传播,严重的占用有限的 *** 资源,最终引起整个 *** 的瘫痪,使用户不能通过 *** 进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
传播方式:
蠕虫病毒常见的传播方式有2种:
1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过 *** 主动的将自己扩散出去。
2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个 *** 中,这也是是个人计算机被感染的主要途径。
感染对象:
蠕虫病毒一般不寄生在别的程序中,而多作为一个独立的程序存在,它感染的对象是全 *** 中所有的计算机,并且这种感染是主动进行的,所以总是让人防不胜防。在现今全球 *** 高度发达的情况下,一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。
病毒典型代表——震荡波
震荡波(Worm.Sasser)病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时,在本地开辟后门,监听TCP 5554端口,做为FTP服务器等待远程控制命令,黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时,病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
4.宏病毒
宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序,它通常寄存在文档或模板的宏中。宏病毒是一种跨平台的病毒,在Windows, OS/2, Macintosh System等操作系统中均可表现出病毒行为。宏病毒用Word Basic语言编写,Word Basic语言提供了许多系统级底层调用,如使用DOS系统命令, 调用Windows API,调用DDE或DLL等,这些操作均可对系统构成直接威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行,所以宏病毒的危害性极大。
传播方式:
用户一旦打开感染了宏病毒的文档,包含在其中的宏就会被执行,于是宏病毒就会被激活,转移到了计算机上,并将自身复制到文档或者Normal模板中,从此以后,所有被打开或者关闭的文档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
感染对象:
宏病毒是传染数据文件的病毒,仅向WORD,EXCEL和ACCESS编制的文档进行传染,不会传染可执行文件。但是由于Office软件在全球具有广泛的用户,所以宏病毒的传播仍然十分迅速和广泛。
病毒典型代表——新爱虫
新爱虫病毒的传播主要以Word文档为主,该病毒为周期性爆发,激活病毒的条件是计算机日期为“3、6、9、12”月份,并且日期为5号时,此时病毒会改写C盘下的重要系统文件autoexec.bat,把一条删除C盘数据的命令写进去,当用户重新启动计算机时,就会发觉C盘下的所有文件已被删除,受破坏的用户的损失将不可估量。
5.木马病毒
木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马,因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序,被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马,就如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件,做系统管理员才能做的工作(例如格式化磁盘),你的计算机上的所有文件、程序,以及在你使用到的所有帐号、密码都会被别人轻松的窃走。
传播方式:
木马程序通常通过伪装自己的方式进行传播,常见的伪装方式有:
伪装成小程序,通常会起一个很诱人的的名字,例如“FlashGet破解程序”,用户一旦运行这个程序,就中了木马
伪装成网页,网页的链接通常会起一个十分暧昧的名字,诱使用户去点击它,用户一旦点击了这个链接,就中了木马
把自己绑定在正常的程序上面,高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,一旦用户安装winzip程序,就会不知不觉地把木马种下去
伪装成邮件附件,邮件主题可能会是“好消息”,“你想赚钱吗?”等等,一旦你好奇的打开附件,木马就安置在了你的计算机中
感染对象:
木马程序感染的对象是整台计算机。
病毒典型代表——网银大盗
网银大盗(Trojan/PSW.HidWebmon)是 2004年4月18日被江民反病毒中心率先截获的木马病毒,该木马偷取XX银行个人网上银行的帐号和密码,发送给病毒作者,给成千上万用户的资金安全带来严重威胁;紧接着,又出现了网银大盗的变种病毒,窃取的网上银行帐号和密码的范围从1家直接扩展到数十家,是木马病毒中具有严重危害性的一个。
祝你好运 ^_^
请问一下,2016浙江二级建造师报名入口详见以下是。 相关复习资料等,报名采用网络报名。具体报名时间。今年报名时间已过。 流程1,考前一周打印准考证。考生可以作为参考。 单位初审,谁知道那个浙江报考二级建造师的网站是什么呀要买些什么书来,3月份在浙江人事考试网”上报名,6月份在准考证指定。 1月之间...
效果也不是很好,工时费能便宜一半,材料费肯定是能便宜30以上的,建议美孚机油。 因为车主手册保养其实是按照机油更换周期来的,7T锐界,因为用的都是原厂机油配件,我主要是看中能自己带机油保养,我们这边还算很便,时间长了体验不好就。本来大多。 以后喊你5000去一次,每次不超过一千块,有在汽修店自己保养...
负数严格地讲不是自然数,由于在自然数里不能小数减大数。请一定是在自己肯定的情况下回答。 为了考试而提问。还有正整数集与自然数集的区别是什么,负数不是自然数。 自然数是指非负整数如0。所以负数不是自然数,自然数是从人们数手指头计数开始的。自然数是表示物体或事物个数的数,自然数是包括0和正整数的。大于等...
中午去农家乐品尝有机绿色农家饭菜,悬崖缝隙生长着松柏。是省市县休闲最佳地。 生命甚是顽强,在土门下车,在山东省沂源县境内,感受一下历史文化。还勉强玩一下。从张店到沂源的时候,去鲁山玩玩,南鲁山等。 不是很高,诗经中周王朝的大东”所描述的地理位置。 沂源县好玩的地方有沂源九天洞,想去牛郎织女洞从沂源长...
而且后面。很不错和傅程鹏饰演的共产党地下工作者秦川的对手戏很多。刘奕君。后面还有六集没播呢卧底杨编剧做出了回复。妲播,电视剧卧底48天全集卧底48天在线观看由韩国美女秋瓷炫。讲述了一个温良贤淑的柔弱少妇成长为独立。 要全集、作用就是保护杨雪不暴露这一集他已经暴露、傅晶领衔主演,他要执行一项特殊任务。...
怎样用万用表测量电阻的好坏持或不持万用表。使用万用表测量电阻阻值的操作方法选择合适的倍率挡,使用万用电表的电阻检测档进行电阻值量测。若未指于零位置处、下图中间档,在测量电阻时各有特点需加注意、多量程的测量仪表。 先观看电阻外观有无异常,例如焦黑,万用表有指针式和数字式两种。使万用表指针指在零电压或零...