木马病毒是通过什么途径感染到我的电脑里面的?
1.从网站下载的软件带有病毒.
(1).某些不良的软件下载网站上下载的软件可能带有各种各样的病毒.对于该点.我们要做到的是下载软件尽量到正规软件下载网站.虽然也出现过正规的大型软件下载网站上的软件带毒事件,毕竟还是很少的现象.
(2).某些下载的破解后的软件带有病毒.由于大型正规的下载站点一般都没有破解后的软件下载,所以很多人在小网站下载Crack版的软件,而这些软件也有很大一部分是带有病毒或者木马的.例如曾经就有带有灰鸽子的破解版瑞星的出现-_-对于该点是防不慎防的.不过也有方法可以解决,就是在下载Crack版本软件的时候,尽量听取朋友的意见.选择干净的软件.^_^或者杜绝Crack版(MS做不到)- -
(3).在某些BT下载网站上有些居心不良的人发布的软件中带有病毒或者木马.当然不排除某些无辜的发布者自己中毒了还不知道的可能.对于第3种情况,我认为解决方法是:在BT发布页面发布的软件,如果没有很好的软件知识,尽量保持在第2天再下载或者使用,并在使用前看看关于该软件的评论.相信如果是有病毒或者木马的种子,在第2天应该被人发现了.^_^
(4).目前也有捆绑在QQ软件上的病毒,通过QQ传播,中毒的用户会想自己所有的好友或群里发送某一文件,文件的名字可能带有诱惑性字样(@_@).这种情况你可以先发消息询问QQ里的好友刚才的文件时候是他主观发的,并且提示他电脑中毒了- -.当然,傻瓜才去执行这个文件咯^_^
(5).熟悉用Email的用户,也需要注意收到带附件的Email后的举措,一般将Email的阅读模式调成纯文本模式并且不去执行附件的话,就不会出太大的问题.
做到这几点应该就可以有效的防止第一类软件带有病毒的情况.
2.浏览网站的时候ActiveX控件带来的病毒
除了通过软件捆绑传播外,间谍软件的另一种传播方式就是网页上的ActiveX控件.这类网站会在用户访问的时候检测系统中是否已经安装某个控件,如果没有安装,就会在IE的标题栏下显示一个黄色的信息栏,点击之后进而会看到安全对话框.用户可以根据自己的实际需要选择是否安装.虽然用户可以决定,但在Windows XP SP2以前,系统并没有提供一个"永不安装"的选项,因此很多人嫌麻烦会安装一些自己本不想安装的控件,另一部分人则因为不了解控件的具体作用而在无意中安装了.现在,对于Windows XP SP2系统,我们已经可以设置永远不安装某个控件.但如果你用的不是Windows XP SP2,也可以试试网上流传的许多免疫程序.(当然要到正规网站下载).
上面是电脑报关于ActiveX控件病毒的介绍.我也加上自己的意见.-_-对于该类病毒.我的意见是,尽量不要上不正当的网站就可以防止了┐(-_-)┌ (表打我,这是大实话)当然如果你要非要上那些网站的话..在IE设置里把安全度调到最高吧- -.
另外,在QQ里(又是QQ- -,QQ真是害人不浅的东西啊_),某些中了病毒的好友会发过来一些网站,附带这样的消息"我把照片上传的XXX了,快来看啊""来看看我的主页吧^_^"等等等等... ...大家一定要先向好友回复信息,确认一下是否他的电脑中毒再进去该页面!!!当然,如果是遇到损友_... ...
3.安装程序附带的流氓软件
如果你发现你的网络使用情况突然变得异常,或者系统启动后会自动弹出一些显示了广告的IE窗口,或者系统突然出现了什么奇怪的问题,那很可能就是因为你的系统被安装了"流氓软件".开发这类软件的一般都是有一定经济或者技术实力,而又缺乏道德的公司,更加上国内的法律目前在这方面还是空白,因此这些公司钻了法律的空子,通过一些不入流的手段大肆传播间谍软件.这方面影响比较恶劣的就是著名的XX上网助手.
关于这些软件,也有一定的防范措施的.主要的就是在安装某些常用软件比如讯雷,暴风影音,浩方对战平台等的时候,不要因为是在正规网站或者官方网下的就百分百的放心,一个劲的就下一步,Next下去了- -要注意在安装过程中是否存在某一十分隐蔽的角落有"附赠"XX助手,XX购物的说明,如果有,把那个勾去掉吧~这是能做到的第一步.第2步,在添加删除程序中观察是否有那些流氓软件,如果有的话,就华丽地请他们出硬盘吧.
木马有哪些传播方式?
1、捆绑欺骗。把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人。服务端运行后会看到游戏程序正常打开,却不会发觉木马程序已经悄悄运行,可以起到很好的迷惑作用。而且即使别人以后重装系统了,他还是保存你给他的这个“游戏”的话,还是有可能再次中招。
2、这是教科书式的老式欺骗,方法如下:直接将木马服务端发给对方,对方运行,结果毫无反应(运行木马后的典型表现),他说:“怎么打不开呀!”你说:“哎呀,不会程序是坏了吧?”或者说:“对不起,我发错了!”然后把正确的东西(正常游戏、相片等)发给他,他收到后欢天喜地的就不想刚才该发生的事有什么不对劲了。
3、QQ冒名欺骗。前提:你必须先拥有一个不属于你自己的QQ号。然后使用那个号码给他的好友们发去木马程序,由于信任被盗号码的主人,他的朋友们会毫不犹豫地运行你发给他们的木马程序,结果就中招了。
4、邮件冒名欺骗。和第三种方法类似,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。
5、危险下载点。这是后面几位朋友提到的,蔬菜常用的方法:(据说他已经用这种方法得到了数千台肉鸡)攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,你就等于多了一台肉鸡。或者你干脆把木马捆绑到其它软件上,然后"正大光明"的发布到各大软件下载网站,它们也不查毒,就算查也查不出我写的新木马,然后...我就不用说了,肉机会至少两位数。
6、文件夹惯性点击。把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。
7、zip伪装。这个方法是最新的,将一个木马和一个损坏的zip包(可自制)捆绑在一起,然后指定捆绑后的文件为zip图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的zip没什么两样,根本不知道其实已经有木马在悄悄运行了。
8、在某个公文包或者可以上传附件的论坛传上捆绑好的木马,然后把链接发给受害者。
9、网页木马法。
请分析哪些是病毒,木马,在电子邮件的传播方式
建议楼主下载安装腾讯电脑管家来进行杀毒,
重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描----顽固木马克星--深化扫描--完成重启电脑就可以了
腾讯电脑管家为国内首个采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,
应用腾讯自研第二代反病毒引擎“鹰眼”,
资源占用少,基于CPU虚拟执行技术能够根除顽固病毒,
大幅度提升深度查杀能力。
传播木马或病毒的途径,有哪些?详细越好。。。
12.1.2 木马的工作原理(2)
http://book.51cto.com 2008-07-21 15:26 李匀 电子工业出版社博文视点 我要评论(0)
摘要:《网络渗透测试——保护网络安全的技术、工具和过程》第12章木马和后门的运用,这一章主要介绍考察木马、病毒及后门应用程序,还会介绍一些恶意黑客和渗透测试人员使用的著名病毒、木马及后门程序,最后讨论如何检测这些恶意软件及在网络上预防这些恶意软件攻击的步骤,本节为木马的工作原理。
标签:网络安全 Web 恶意软件 攻击 网络渗透测试
Oracle帮您准确洞察各个物流环节12.1.2 木马的工作原理(2)3.木马的启动方式作为一个优秀的木马,自启动功能是必不可少的。自启动可以保证木马不会因为用户的一次关机操作而彻底失去作用。正因为该项技术如此重要,所以很多编程人员都在不停地研究和探索新的自启动技术。一个典型的例子就是把木马加入到用户经常执行的程序(例如Explorer.exe)中,当用户执行该程序时,木马就自动执行并运行。当然,更加普遍的方法是通过修改Windows系统文件和注册表实现自启动。实现自启动的常用方法包括下述几种,通过启动组实现自启动这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马很少使用这种方式,原因在于启动组的每个程序都会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起普通人的注意,所以,极少有木马使用这种启动方式。在Win.ini文件中启动同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中,这种方法也不很适合木马使用。在System.ini文件中启动System.ini文件位于Windows安装目录下,其中[Boot]节中的Shell= Explorer.exe是经常被用于隐藏加载木马的地方。通常的做法是将该项变为Shell= Explorer.exe Sample.exe。这里的Sample.exe是某个木马服务端程序。我们可以在"Explorer.exe"后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就使用了这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外没有别的破解之法了。但这种方式也有先天不足,因为只有一个Shell项,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个木马无法启动,此所谓以毒攻毒。System.ini文件中的[386Ehn]节的“driver=路径\程序名”也可以用来实现自启动。此外,System.ini中的[mic]、[drivers]、[drivers32]也是加载程序的好地方。在*.ini文件中启动后缀为.ini的文件是系统中应用程序的启动配置文件,木马程序利用这些文件能够自启动应用程序的特点,将制作好的、带有木马服务端程序自启动命令的文件上传到目标主机中,这样就可以达到启动木马的目的了。通过修改文件关联启动修改文件关联是木马常用手段,例如,在正常情况下,.txt文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则.txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样。冰河木马通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\notepad.exe %1”修改为“%SystemRoot%\system32\sysexplr.exe %1”,实现该木马的启动。只要用户双击任意一个.txt文件,原本应该使用notepad.exe程序打开.txt文件,现在就变成启动Windows system32目录下的sysexplr.exe木马程序了。需要提醒读者的是,不仅仅是.txt文件,其他如html、JPG、Zip、rar等扩展名都是木马作者制定自动启动方案的目标。通过捆绑文件方式启动木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。使用著名的黑客软件Deception Binder就可以实现木马与正常程序的捆绑。这是国外的一款文件合并器,小巧而功能强大。能够捆绑任意格式(包括.txt、.jpg)文件;能够设置打开文件是否隐蔽运行;能够设置打开文件是否加入注册表启动项;能够设置打开文件时是否显示错误信息以迷惑对方等。当木马程序连接到Notepad时,其结果会显示为Notepad,而且执行时也像是Notepad,但同时也会执行木马程序。通过将特定的程序改名方式启动这种方式常见于针对QQ的木马,如将QQ的启动文件QQ2000b.exe,改为 QQ2000b.ico.exe(Windows默认不显示扩展名,因此它会被显示为QQ2000b.ico,而用户会认为这是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际上运行了QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来很简单。通过Autoexec.bat文件,或winstart.bat,config.sys文件启动其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,此时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想像,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中显示窗口,进行调试,既然如此,谁能保证木马不会这样启动呢?通过注册表启动这里通常有两组注册表项供使用。下面分别予以简要介绍。通过下面的三个注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 这是很多Windows程序都采用的方法,也是木马最常用的方法。它的使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表项中的主键,通常木马会使用最后一个。使用Windows自带的程序msconfig或注册表编辑器(regedit.exe)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。破解方法是,首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了,然后,你就可以删除注册表中的键值和相应的木马程序。采用这种启动方式的典型木马包括:BO2000、GOP、NetSpy、IEthief、冰河等。通过下面的三个注册表项: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
这种方法好像使用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过三五行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。还有一种控制再次启动的方法,它不是在启动的时候添加注册表项,而是在退出Windows的时候添加,这就要求木马程序本身要截获Windows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样使用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦Windows异常中止(比如断电),木马也就失效了。另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束后才会继续启动Windows。采用这种启动方式的典型木马包括Happy99等。4.黑客欺骗用户运行木马的方法木马是一个软件,它由使用者传播或种植,而不会“长腿”自己跑到用户的机器上,正像《特洛伊》剧情中描述的一样,木马往往是用户自己将其带进计算机中的。有了木马程序,如果没有高超的骗术,木马也无用武之地,因此,这里将简单地介绍几种网络上流行的欺骗方法,目的是让读者了解这些骗术的内容,如果遇到类似情况,也可以当场揭穿而不会付出城池失守的代价。捆绑欺骗把木马服务端和某个游戏,或者Flash文件捆绑成一个文件通过QQ或邮件发给受害者。当受害者对这个游戏或者Flash文件感兴趣而下载到机器上,而且不幸打开了文件后,就会被种植上木马。受害者会看到游戏程序正常打开,但却不会发觉木马程序已经悄悄运行。这种方法可以起到很好的迷惑作用,而且即使受害者重装系统,如果用户保存了那个捆绑文件,还有可能再次中招。邮件冒名欺骗现在上网的用户很多,但其中一些用户的电脑知识并不丰富,防范意识也不强,当黑客用匿名邮件工具冒充用户的好友或大型网站、政府机构向目标主机用户发送邮件,并将木马程序作为附件。用户看到发送者的名字是某知名网站或大型机构,而附件命名为调查问卷,注册表单等,用户就有可能毫无戒心地打开附件,从而种植上木马。压缩包伪装这个方法比较简单,也比较实用。首先,将一个木马和一个损坏的Zip/Rar文件包(可自制)捆绑在一起,生成一个后缀名为.exe的文件。然后指定捆绑后的文件为Zip/Rar文件图标,这样一来,除了后缀名与真正的Zip/Rar文件不同,执行起来却和一般损坏的Zip/Rar文件没什么两样,用户可能根本不知道木马已经在悄悄运行了。网页欺骗也许读者在网上都有这样的经历,当用户在聊天的时候,入侵者发给用户一些陌生的网址,并且说明网站上有一些比较吸引人的东西或者热门的话题。如果用户不够警惕,或者好奇心较强,不幸单击了这个链接,在网页弹出的同时,用户的机器也可能已经被种植了木马。
欺骗的方法多种多样,并且随着时间的推移,新的方法和手段也都会被发明出来。
QQ盗号木马是怎么传播的?
病毒依附存储介质软盘、硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存, 并设置触发条件,触发的条件是多样化的, 可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。
病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。
盗号木马是具有盗取QQ帐号能力的木马病毒。浏览带有盗号木马病毒的网站时或者打开带有木马病毒的文件时,它会入侵计算机,伺机盗取QQ密码。
预防方法:
1、为QQ号码申请密码保护;
2、不登陆来路不名的网站,不点击来历不名的链接;
3、防止木马入侵电脑,及时安装杀毒软件;
4、使用复杂密码,并尽量避免QQ密码和您在其他网站使用的密码相同,如:符号+大写字母+小写字母+(自己的生+手机号;
5、提高其他方面的安全意识;
6、玩腾讯类网游时,不使用外挂;
7、不进行任何的所谓刷钻、刷Q币业务;
方法一:使用 QQ医生在线版 修复系统漏洞;
方法二:在 微软的官方网站更新Windows安全补丁,需要正版Windows。
病毒木马是通过什么传播的?如果我不下载任何东西有可能传染吗?
1. 通过硬件存储介质传播
前面讲过计算机病毒有自动复制传染的特性,所以如果U盘、MP3、SD卡、软盘、移动硬盘等移动存储设备如果接入感染了病毒的计算机后,其本身可能也会被感染病毒,如果再接入没有被感染病毒的计算机后,该计算机可能也会被传染病毒。
2. 通过局域网共享传播
前面提到了计算机的漏洞,微软的IPC共享就存在严重漏洞,许多病毒可以通过IPC默认共享自动感染局域网内的所有计算机。(我们在局域网内实现共享打印机、共享文件都是利用IPC来实现共享的)
3. 通过与应用软件捆绑传播
此种手段较为高明,木马制作者把木马程序捆绑到一个比较常用的应用软件上,比如Photoshop、QQ、Realplayer、Word等软件上,然后把这些捆绑了木马程序的应用软件放到互联网上提供给网友下载,当你下载下来安装这些软件的时候,被捆绑其上的木马也被你同时安装到自己的电脑中了,这一过程是不被你察觉的。
4. 通过电子邮件附件传播
木马制作者可以直接把木马程序作为附件发送给你,利用社会工程学的知识来骗你打开附件,比如说是你的同学,发给你一张新拍的照片,如果你信以为真,那可能就中计了。直接发送木马程序对于稍有网络安全意识的人来讲还是可以防范的,因为木马程序既然是应用程序,那么它的后缀名必定是.EXE。更高级的附件发送木马手法还是挺高明的,比如把木马程序的图标改为图片文件的图标或是Word文档的图标来进行鱼目混珠,还可以利用Word的宏命令直接把木马程序写入Word文档中,这样就更难察觉了。
5. 通过网页木马传播
什么是网页木马?答:网页木马就是利用计算机漏洞构造出的具有特殊功能的网页,当你打开此网页且你的计算机有此网页利用的漏洞时,你的电脑就会自动从指定的网址下载木马程序到你的电脑上并自动运行。这一切都是在隐蔽状态下进行的,对于你来说,你只不过就是打开了一个网页而巳,没有进行任何其它操作,但是你的电脑巳经中毒了。相对于其它传播手段而言,此种传播手段的传播效率最高!大约90%以上的木马程序都是通过网页木马来进行传播的。你也许会说你没有上什么不正规的网站,怎么也会中毒?事实上目前的许多网站都存在着各种各样的漏洞,黑客利用这些漏洞可以入侵网站,包括有名的网易、搜狐、新浪等大型知名网站都曾遭遇过黑客入侵而被篡改主页。黑客入侵网站后如果在这些网站的首页加上一段调用网页木马的代码,那么当你浏览这一网站时你就可能中了木马了。
6. 通过邮件网页木马传播
前面巳讲到什么是网页木马,那么邮件网页木马顾名思义就是通过邮件传播的网页木马了,木马制造者通过编辑电子邮件的源代码,可以发送一封网页格式的电子邮件给你,此种格式的邮件如果在源代码中加入调用网页木马的代码就称为邮件网页木马,此中邮件没有附件,你只要打开了这封邮就会中马,不需要进行其它任何操作!它相对于网页木马的优点在于可以发送到指定的邮箱指定目标进行攻击。
7. 通过影音文件网页木马传播
不知大家是否有过这样的经历,下载到一部自己喜爱的电影,正在观看时突然弹出来一个网页,这个网页就有可能是网页木马了(也有可能只是做广告),视频文件是可以添加事件的,可以让它在播放到指定时间时打开一个网页,如果打开的网页是网页木马,那么你的电脑从此就中毒了。此种木马常见于一些不正规的小网站提供的电影下载中或是BT等共享视频中。
计算机病毒的传播途径主要有哪些?
主要通过复制文件,文件传送,运行程序等方式进行。它的传播媒介主要有以下几种;
(1)硬盘传播:由于带病毒的硬盘在本地或者移到其他地方使用,维修等被病毒传染并将其扩散。
(2)光盘传播:大多数软件都刻录在光盘上,由于普通用户购买正版软件的较少,一些非法商人就将软件放在光盘上,在复制的过程中将带病毒文件刻录在上面。
(3)u盘传播:u盘携带方便,为了方便计算机相互之间传递文件,经常使用u盘,就将一台计算机的病毒传播到另一台。
(4)internet上下载病毒文件,在计算机日益普及的今天人们通过计算机网诺相互传递文件,信件,这样使病毒传播速度加快,因为资源的共享,人们经常网上下载、免费共享软件、病毒文件难免夹带在其中,网诺也是现代病毒传播主要方式。