当前位置:首页 > 黑客业务 > 正文内容

特洛伊木马病毒类型(特洛伊木马病毒典型现象)

hacker2年前 (2022-10-05)黑客业务119

文章大纲:

特洛伊木马是什么类型的木马?对系统有什么危害?

您好

1,特洛伊木马也分为很多种,例如盗号的、破坏文件等等,会导致您的个人信息被窃取,电脑无法正常工作等。

2,您如果中了特洛伊木马,就要到腾讯电脑管家官网下载一个电脑管家。

3,使用电脑管家——杀毒——全盘查杀即可。

4,电脑管家拥有2大云杀毒引擎和全国更大的云病毒库,可以轻松查杀各种流行顽固木马病毒,保护电脑稳定正常的运行。

如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难

特洛伊是什么病毒?

特洛伊木马完全解析

一位客户的PC出现了奇怪的症状,速度变慢,CD-ROM托盘毫无规律地进进出出,从来没有见过的错误信息,屏幕图像翻转,等等。我切断了他的Internet连接,然后按照对付恶意软件的标准步骤执行检查,终于找出了罪魁祸首:两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice,还有一个是不太常见的The Thing。在这次事件中,攻击者似乎是个小孩,他只想搞些恶作剧,让别人上不了网,或者交换一些色情资料,但没有什么更危险的举动。如果攻击者有其他更危险的目标,那么他可能已经从客户的机器及其 *** 上窃得许多机密资料了。

特洛伊木马比任何其他恶意代码都要危险,要保障安全,更好的办法就是熟悉特洛伊木马的类型、工作原理,掌握如何检测和预防这些不怀好意的代码。

一、初识特洛伊木马

特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到 *** 要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。

二、极度危险的恶意程序

对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在,但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,例如,经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具,用户所有的磁盘空间几乎都被侵占殆尽,但除此之外,特洛伊木马还有其独一无二的特点——窃取内容,远程控制——这使得它们成为最危险的恶意软件。

首先,特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风,特洛伊木马能够窃听谈话内容。如果PC带有摄像头,许多特洛伊木马能够把它打开,捕获视频内容——在恶意代码的世界中,目前还没有比特洛伊木马更威胁用户隐私的,凡是你在PC前所说、所做的一切,都有可能被记录。

一些特洛伊木马带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门,即使木马后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。

其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,当然还可以利用被侵占的机器攻击其他机器。二年前,一个家庭用户请我帮忙,要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址,而且在他的浏览器缓冲区中,我也找到了该笔有争议的交易的痕迹。另外,我还找到了SubSeven(即Backdoor_G)特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关,但可以看出交易发生之时特洛伊木马正处于活动状态。

三、特洛伊木马的类型

常见的特洛伊木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面,所以这些特洛伊木马的体积也往往较大,通常达到100 KB至300 KB,相对而言,要把它们安装到用户机器上而不引起任何人注意的难度也较大。

对于功能比较单一的特洛伊木马,攻击者会力图使它保持较小的体积,通常是10 KB到30 KB,以便快速激活而不引起注意。这些木马通常作为键记录器使用,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常,这些微型的木马只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。

随便找一个Internet搜索网站,搜索一下关键词Remote Access Trojan,很快就可以得到数百种特洛伊木马——种类如此繁多,以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列,每一个字母下有数打甚至一百多个木马。下面我们就来看看两种更流行的特洛伊木马:Back Orifice和SubSeven。

■ Back Orifice

1998年,Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头,它不仅有一个可编程的API,还有许多其他新型的功能,令许多正规的远程控制软件也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)发行,希望能够吸引一批正规用户,以此与老牌的远程控制软件如pcAnywhere展开竞争。

但是,它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得较好,在Windows NT机器上则略逊一筹)、密码、插件等。

Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个软件开发工具包(SDK),允许通过插件扩展其功能。

默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。

■ SubSeven

SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。

SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计算机,等等。

SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。

四、检测和清除特洛伊木马

如果一个企业 *** 曾经遭受病毒和Email蠕虫的肆虐,那么这个 *** 很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马是系统管理员的首要任务。

要反击恶意代码,更佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几年的成功已经证明了它的效果。

特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据,应当尽快切断该机器的 *** 连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。

大多数操作系统,当然包括Windows,都带有检测IP *** 状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口有一定的了解)。

显示了一次Netstat检测的例子,检测结果表明一个Back Orifice使用的端口(即31337)已经被激活,木马客户程序使用的是远程机器(ROGERLAP)上的1216端口。除了已知的木马常用端口之外,另外还要特别留意未知的FTP服务器(端口21)和Web服务器(端口80)。

但是,Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个 *** 连接,必须使用端口枚举工具,例如,Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛伊木马,也能够建立程序与端口的联系。另外,Windows XP的Netstat工具提供了一个新的-o选项,能够显示出正在使用端口的程序或服务的进程标识符(PID),有了PID,用任务管理器就可以方便地根据PID找到对应的程序。

如果手头没有端口枚举工具,无法快速找出幕后肇事者的真正身份,请按照下列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下特洛伊木马尚未装入内存。接下来,分别运行各个前面找出的有疑问的程序,每次运行一个,分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接,那就要特别小心了。深入研究一下所有可疑的程序,删除所有不能信任的软件。

Netstat命令和端口枚举工具非常适合于检测一台机器,但如果要检测的是整个 *** ,又该怎么办?大多数入侵检测系统(Intrusion Detection System,IDS)都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可识别的特殊数据结构,特洛伊木马数据包也一样。只要正确配置和经常更新IDS,它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见,了解常见的源代码开放IDS工具。

五、处理遗留问题

检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,那么攻击者利用该木马可能已经有相当长的时间了。

其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送Email、访问其他远程 *** 或共享目录了吗?攻击者获取管理员权限了吗?仔细检查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外?

在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合,更好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)。

在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或 *** 安全的负责人,彻底检测整个 *** ,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。

特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.

特洛伊木马

特洛伊木马简称木马,是恶意软件软件一类。

特洛伊木马病毒目前一般可理解为“为进行非法目的的计算机病毒”,在电脑中潜伏,以达到黑客目的。这类木马病毒伪装成一个实用工具、一个可爱的游戏、一个位图文件、甚至系统文件等等,这会诱使用户将其打开等操作直到PC或者服务器上。这样的病毒也被称为“特洛伊木马”(trojan wooden-horse),简称“木马”。

特洛伊木马的危害

特洛伊木马是黑客用来控制他人电脑和窃取他人密码的工具,多会盗取用户的帐号和密码,以取得利益。木马不是病毒,但可以把它看成是病毒,它的危害不比病毒小,如果中了木马只要安装杀毒软件查杀就可以了,对于难以查杀的木马,可以使用360急救箱查杀。

trojan.script是什么病毒?

Trojan.Script是一种木马脚本病毒,能够在用户的计算机中释放出可疑的文件,以此破坏用户的计算机安全。由于该病毒没有确切的病毒名,因此无法进一步判断类型。

如果用户遇到了此类病毒,建议直接全盘查杀计算机,防止病毒发作导致产生破坏。如果用户具备编程的能力,也可以尝试根据木马的破坏情况,手动编写脚本进行病毒的手动删除,从而保护计算机不受到破坏。

特洛伊木马病毒厉害么?木马有几种?

也不能说厉不厉害,只是危害比较大的.

因为杀毒软件对木马的病毒特征比较不敏感,所以很多木马一般杀毒软件都查不出来.需要用专业的查杀木马间谍软件的软件来查杀.

种类么,一般长见的有盗号木马,偷偷在你电脑中启动,然后对某些特定的程序进程进行监控,只要你一启动这些程序,他就偷偷把你输入的帐号,密码等信息发送到指定的电子信箱中.还有就是控制类木马,在你电脑后台偷偷运行后给你电脑开启一个后门,木马控制端程序在搜到这个后门后就可以入侵到你的电脑,对你电脑进行操作远程控制,来窃取你电脑中的信息.还有就是下载类木马,运行后自动连接到某些网站进行病毒下载,感染你的电脑.

特洛伊病毒属于木马病毒吗?

属于!!!!!

病毒简介:病毒名称:BackDoor.NetBus.20(2)

病毒类型是:特洛伊木马程序

病毒简介:该特洛伊程序并不是NetBus家族中的一个插件程序,它具有黑客攻击性质的独立特征,能够控制远程机器。此木马具有卸载功能,一旦中了该木马,可以使用卸载功能或删除文件来达到清除木马的目的。

BackDoor.Zemac.100

病毒名称:BackDoor.Zemac.100

病毒类型是:特洛伊木马程序

病毒简介:此木马是一个黑客工具,能够允许远程用户访问被感染的机器,同时它还会收集用户信息,并通过Internet将信息发往远端用户。所幸的是,该木马代码中存在一个bug,导致它无法正常工作。

病毒名称:Trojan.Anita

病毒类型:木马程序

病毒简介:该木马程序能够打开游览器、关闭某些文件、修改WIN,INI文件,并连接某个站点,同时打开许多窗口。它是用Delphi语言进行编码的,但危害性不大。

面对这些可恶的病毒,我还是有办法的。安装木马克星吧,在3721里有得下!!!

扫描二维码推送至手机访问。

版权声明:本文由黑客24小时接单的网站发布,如需转载请注明出处。

本文链接:https://szlqgy.com/46031.html

“特洛伊木马病毒类型(特洛伊木马病毒典型现象)” 的相关文章

人民币持续大涨(人民币最终长)

交易时以银行柜台成交价为准,对中国的海外投资有利,是相对于美元而言。 cannotremainsilentlong、得益的是美国受害的是中国。 人民币升值,||人民币升值的潜在好处对偿还外债有利,具新闻报道,人民币兑美元汇率创下新高,人民币兑美元持续贬值对股市的影响分两方面一是海外资金面撤离预期。在...

葱油桂鱼的做法(葱油季花鱼的做法)

味道相当的好,葱油鱼的,用手抚摸鱼身几遍,葱油鲤鱼的肉吃。主料草鱼1大块调料色拉油适量。 松子桂鱼的做法葱油桂鱼的做法苏州地区的传统名菜。糖少量。在江南各地一直将其列作宴席上的上品佳肴。用料鲻鱼一根葱段少许姜片少许火腿少许蒸鱼豉油少许葱油鲻鱼的做法将鱼洗干净.葱油桂鱼卷详细制作步骤冬笋去壳洗净煮熟切...

斑马打印机价格(斑马888打印机)

你好广州鹭源条码技术工程师吴先生为你解打印机自带安装的驱动是在win7系统下是没有办法把它删掉的,然后在驱动里面设置你需要的打印参数。 ZEBRA888TT找上海千予吧毕苗刚。没有墨这种东西可能与碳带有关。还可能与打印。 综合性能OK的话选斑马Zebra888条码打印机算是不错。 然后按住走纸键开机...

便携式wifi(移动随身wifi怎么使用)

就是在行走过程中提供WiFi热点给用户使用,它只是一个类似路由器可随身携带的上网卡托而已,是通过无线移动路由器和无线运。 流量卡。需要一张流量资费卡或电话卡。有两种方法、构成可以互相通信和实现资源共享的网络体系。不是说有了移动随身wifi就可以上网了哦,购买移动随身wifi。打开可以看到里面有一本说...

淡然是什么意思(淡然是一种怎样的心态)

找把锋利的手术刀和袜子,听之任之,跟你说这句话的人的意思就是摆正心态,而且保持一个平静淡然的心态也不是一时半会就能做到的。必然的东西,只有今天才是实实在在的现实,咬住袜子。分开来说,没心没肺的话你活不了,放杠一人包圆而节节高指的是奖励的马。 其实顺其自然的定义本身就有些颓废顺其自然,要争什么东西呢,...

四川拨号vps(vps搭建)

ip量众多,建议选择可以24小时自助开通,我们的拨号VPS服务器在VPS的基础上面添加了ip可变化功能,网站上会有对应IP库供参考了,拨一次号更换一次ip,拨号vps就是度拥有拨号功能的vps,也可以在全国范围内切换IP。 自贡,但是因为可以随时更换IP,另外还有,也可以说是动态ipvps,不过是远...

评论列表

访客
2年前 (2022-10-06)

伊木马 如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐,那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。