本文目录一览:
史上最NB的木马病毒?
NB的木马是特洛伊 这木马中奖率非常高
一般中毒都会有它的变种名字
世界最强的十大电脑病毒是什么?
一、勒索病毒事件
勒索病毒是一种源于美国国家安全局的计算机病毒。近100个国家已经招募,其中英国医疗系统瘫痪,大量患者无法就医。中国大学的内部网络也受到了感染。受影响机器的磁盘文件将被加密,只有在支付赎金后才能解密和恢复。勒索金额为5个比特币,分别相当于人民币5万元。根据最新报告,病毒勒索背后的黑客已经收到8.2个比特币。
二、“CIH病毒”事件
说到CIH病毒,它确实是中国人的一个荣誉,因为它是由一个叫陈盈豪的台湾大学生写的。与两大国际盗版集团一起销售的盗版光盘首先在欧洲和美国广泛传播,然后通过各种互联网网站相互转载,使其迅速传播。那时候这是一场大灾难。世界上无数的计算机硬盘上布满了垃圾数据。病毒甚至破坏了电脑的基本输入输出系统,最后连电脑都无法启动。在2001年和2002年,病毒复活了几次。它真的是一只不死蟑螂。
三、“梅利莎病毒”事件
1998年,大卫史密斯在Word软件中使用宏操作编写了一个计算机病毒。该病毒是通过微软Outlook传播的。史密斯把它命名为梅丽莎,一个舞者。一旦收件人打开邮件,病毒会自动复制并向50个朋友发送相同的邮件。史密斯把它放到互联网上后,病毒开始迅速传播。直到1999年3月,梅丽莎一直在世界各地报纸的头版。据当时统计,梅丽莎感染了世界上15%~20%的商用电脑。病毒的迅速传播使得美国联邦政府对此事非常重视。它还迫使Outlook暂停服务,直到病毒被清除。史密斯还被判入狱20个月,罚款5000美元。这也是第一个引起全世界关注的计算机病毒。
四、“冲击波病毒”事件
冲击波病毒是利用2003年7月21日宣布的RPC漏洞传播的。那年八月病毒爆发了。它会使系统运行异常,持续重启,甚至导致系统崩溃。此外,该病毒具有很强的自我防御能力。它还将对微软升级后的网站进行拒绝服务攻击,导致网站被封锁,用户无法通过网站升级系统。使计算机失去更新漏洞修补程序的能力。然而,病毒的制造者只是一个18岁的男孩,杰弗里李帕森,他最终被判处18个月的监禁。这种病毒的变种今天仍然存在。小心你做的事。
五、“爱虫病毒”事件
与梅丽莎相似,爱虫也通过Outlook电子邮件系统传播,但邮件主题已改为“我爱你”。打开病毒附件后,它会自动传播。这种病毒在很短的时间内攻击了世界上无数的计算机,而且它也是一种非常挑剔的病毒。它喜欢拥有高价值信息技术资源的计算机系统,如美国国家安全部、中央情报局、英国议会和其他政府机构、股票经纪人和著名的跨国公司。“爱虫”病毒是迄今发现的速度最快、传播最广的计算机病毒。
六、“震荡波病毒”事件
冲击波于2004年4月30日爆发,在短时间内给全世界造成了数千万美元的损失,并使每个人都记得2004年4月。一旦电脑被击中,它将莫名其妙地崩溃或重启。然而,在纯DOS环境下执行病毒文件会显示谴责美国士兵的英语句子。
七、“MyDoom病毒”事件
我的末日是一种通过电子邮件附件和P2P网络Kazaa传播的病毒。它于2004年1月28日爆发,导致网络负载时间在高峰期间慢了50%以上。它会自动生成病毒文件,修改注册表,并通过电子邮件传播。一家芬兰安全软件和服务公司甚至称其为病毒史上最糟糕的电子邮件蠕虫。据估计,病毒的传播占爆发当天全球电子邮件流量的20%至30%,全世界有40万至50万台计算机受到感染。
八、美国1.3亿张信用卡信息被盗事件
从2006年10月到2008年1月,28岁的美国迈阿密人冈萨雷斯(Gonzalez)利用黑客技术突破计算机防火墙,侵入五大公司的计算机系统,窃取了约1.3亿张信用卡和借记卡的账户信息。这导致了迄今为止美国司法部起诉的最大的身份盗窃案,并直接导致支付服务巨头哈特兰向维萨、万事达、美国运通和其他信用卡公司支付超过1.1亿美元的相关赔偿。2010年3月,冈萨雷斯被判处两项并行的20年刑期,这是美国历史上对计算机犯罪的最长刑期。因为这一事件,冈萨雷斯被称为美国历史上最大的黑客。
九、索尼影业遭袭事件
2014年11月24日,黑客组织“和平卫士”发布了索尼电影公司员工的电子邮件,内容包括公司高管薪酬和索尼不发布电影拷贝。据估计,这一行动与即将上映的电影《采访》有关。尽管索尼电影公司最终决定取消这部电影的发行。然而,在攻击发生几个月后,它的影响继续发酵,频繁的计算机故障和电子邮件冻结。艾米帕斯卡,该公司的联合主席,被迫辞职,因为许多电影明星和社会各界名人的参与。这不是索尼第一次被黑客攻击。2011年,索尼PSN网络上数百万用户的信息被盗。索尼影业经常受到黑客的攻击。除了树的受欢迎程度之外,据估计这与它的低劣质量有关。
十、“熊猫烧香病毒”事件
你为什么把熊猫烧香病毒放在最后?因为边肖最了解熊猫烧香病毒。我相信从2006年到2007年初,玩电脑的人会记得一种叫做“熊猫烧香”的病毒。2007年1月初,它开始在互联网上肆虐。它主要是通过下载的文件传输的。受感染的机器文件间接对其他计算机程序和系统造成严重损害,因为它们被错误地携带。在短短两个多月的时间里,病毒继续入侵个人电脑,给数百万个人用户、网吧和企业局域网用户造成了不可估量的损失,被《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》评为“毒王”。然而,熊猫烧香只是为了炫耀他们的技能,而不是像bitvirus一样要钱。2007年9月24日,“烧香熊猫”案一审宣判,主犯李俊被判处有期徒刑4年。
世界上最牛的电脑病毒有那些?
你好:
比较知名的病毒有:
1.极虎病毒
2010年,该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况:计算机进程中莫名其妙的有ping.exe和rar.exe进程,并且cpu占用很高,风扇转的很响很频繁(手提电脑),并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件,,杀毒软件和安全类软件会被自动关闭如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件,系统文件,感染系统文件,让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改,无法使用杀毒软件进行清理,一旦清理,系统将无法打开和正常运行,同时基于计算机和网络的帐户信息可能会被盗,如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等。 极虎病毒疏于防范之后的解决方案
2.熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。对计算机程序、系统破坏严重。 其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为
“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。而大多数
熊猫烧香是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
3.扫荡波运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载“扫荡波”,同时再下载一批游戏盗号木马。被攻击的计算机中“扫荡波”而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被确认为新型蠕虫。扫荡波如果对局域网内电脑的攻击失败,这些电脑上则会出现“svchost.exe”出错的提示,说“svchost.exe中发生未处理的win32异常”,同时网络连接中断。用户要是发现自己的电脑中出现此情况,就说明您电脑所处的局域网内有机器中毒。此时,如果您的电脑并没有中毒,但千万不可以有侥幸心理,应该立即打上MS08-067补丁,因为该毒的攻击不会仅仅一次,而且随着病毒作者对其进行升级,扫荡波会拥有更强的攻击力。如果打补丁过程中出现问题或还出现崩溃现象。可以使用手工解决方案:禁用IPC$空连接,避免病毒连接到用户系统上。方法如下:运行regedit,找到如下子键|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA把RestrictAnonymous键值改为REG_DWORD:00000001
4.Elk Cloner
1982年,它被看作攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple
II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。 Elk
Cloner是第一个已知被广泛传播的计算机病毒。当时15岁的高中生里奇·斯克伦塔为Apple
II操作系统写了这个病毒,该病毒被存储在软盘上。当计算机启动感染了Elk
Cloner的软盘,这个病毒开始作用,并随后将它自己拷贝到任何被访问的未感染的软盘中。因为那时的计算机有两个软盘驱动器,并因为磁盘经常在朋友之间传递,这个病毒就被频繁地复制。在被感染后,计算机每被启动50次,就会显示以下文字: Elk
Cloner: The program with a personality It will get on all your disks It will
infiltrate your chips Yes it's Cloner! It will stick to you like glue It will
modify ram too Send in the Cloner!
5.鬼影病毒”
2010年,该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒代码写入MBR寄存,即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。鬼影有上次变种,分别为鬼影、魅影、魔影。都具有很强的隐蔽性和破坏性。鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”
6.“Conficker”
2008年,Conficker.C病毒原来要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。这个蠕虫利用的是一个已知的被用于windows2000,windowsxp,windowsvista,windowsserver2003和windowsserver
2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。
修复和清除
在两千零八年十月十五日微软释放了一个补丁(MS08-067)用于修复这个漏洞。清除工具可以从微软,赛门铁克,卡巴斯基获得,同时麦咖啡可以清楚他通过特殊扫描。病毒可以通过USB自动播放传播,通过注册表关闭USB的自动播放功能是推荐的选择。微软释放了windowsXPsp2和sp3、windows2000sp4、vista的补丁,没有释放windowsXPsp1和更早版本系统的补丁,这些系统的服务包支持已经过期。
7.CIH
1998年,CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。如果说陈盈豪在台湾警察们的眼里只是“电脑鬼才”的话,那么他的母亲、同学、老师和左邻右舍倒觉得他是一个地道的“电脑天才”
8.“红色代码”
2001年,被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。红色代码”病毒是2001年一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限并为所欲为,可以盗走机密数据,严重威胁网络安全
9.Nimda
2001年尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。 Nimda蠕虫病毒介绍该病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK
EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe
load.exe
-dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。
10.Morri
1988年,Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。
其他问题欢迎咨询电脑管家企业平台!
历史上最厉害的木马病毒有哪些
一、网络公牛。 网络公牛又名Netbull,是国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽,危害很大。同时,服务端运行后会自动捆绑以下文件: win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe。 winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe;winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)。在注册表中网络公牛也悄悄地扎下了根,如下: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来,网络公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。 清除方法: 1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。 3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始-附件-系统工具-系统信息-工具-系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。 二、网络神偷(Nethief) 网络神偷又名Nethief,是第一个反弹端口型木马! 什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧, 嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马,网络神偷已经开始流行!中木马者也日益增多,大家要小心哦! 清除方法: 1、网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK,神偷完蛋了! 三、WAY2.4(火凤凰、无赖小子) WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们的威胁就更大了。从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来,WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\system\msgsvc.exe赫然在列! 清除方法: 要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了! 注意:在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载,sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 清除方法: 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。 清除方法: 1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它。 2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。 3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices,删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极? 哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢! Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易! 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易! 清除方法: 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除键值“MainBroad BackManager”,其值为C:\WINDOWS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软! 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1,因此要恢复成原值:C:\WINDOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。 好了,可以和聪明基因说“再见”了! 七、黑洞2001 黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。 黑洞2001服务端被执行后,会在C:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件在机器开机时立刻运行,并打开默认端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入! 清除方法: 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy(网络精灵) Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。 清除方法: 1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe 回车! 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\,删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。 清除方法: 1、打开注册表Regedit,点击至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器="C:\windows\system\***"。注:加载器和文件名是随意改变的。 2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。 3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。 4、重新启动Windows,删除相对应的木马程序,一般在C:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。