网络病毒的危害
病毒也是一种程序,只不过人们把它定义成恶意程序.既然病毒是程序,那它就是用编成软件制作的啊~
这些是编写程序时用的语言:Basic语言 ,Pascal语言,C语言,SQL语言,Java语言等
至于它的危害,不同的病毒危害的表现不同,如蠕虫病毒,就是典型的破坏计算机的磁盘等的,像最近的熊猫烧香,小浩等,都是破化计算机的
木马病毒:不会对计算机构成威胁,木马病毒主要是用来盗取帐号密码的,最常见的就是QQ木马
下面是一些防毒的经验:
由于Internet技术及信息技术的普及和发展,病毒的传染速度越来越快。一个和Internet相连的企业,最主要的病毒入口就是Internet,主要的传染方式是群件系统;控制Internet 入口处的病毒侵入,就抑制了最主要的病毒源;好的群件系统防病毒系统,将病毒的传染域隔离到孤立的某一台机器,这样病毒的破坏就会控制到最小范围。
在大的企业里,为了保证防病毒系统的一致性、完整性和自升级能力,必须有一个完善的病毒防护管理体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。那么,选择一个好的防病毒系统到底需要考虑哪几个方面呢?
完整的产品体系和高的病毒检测率
一个好的防病毒系统应该能够覆盖到每一种需要的平台。我们都知道,病毒的入口点是非常多的。我们一般需要考虑在每一种需要防护的平台上都部署防病毒软件。大体上分为以下几类平台:
1. 客户端。不管客户端使用什么操作系统,都必须具有相应的防病毒软件进行安装防范。
2. 邮件服务器。电子邮件目前已经成为病毒传播的重要途径。对邮件服务器进行集中邮件病毒防范是非常有意义的。一个好的邮件或群件病毒防范系统可以很好地和服务器的邮件传输机制结合在一起,完成在服务器上对病毒的清除工作。另外,由于目前邮件病毒的传输方式已经从以前的单纯附件携带方式扩展为内容携带方式,所以一个好的邮件防病毒系统应该具有清除邮件正文中的病毒的能力。
3. 其他服务器。网络中除了邮件服务器外,还存在大量的其他服务器如文件服务器、应用服务器等等。用户在日常工作时会经常同这些服务器进行文件传输等工作,也就形成了另外一种病毒的传播途径。这些服务器也需要安装相应的防病毒软件。
4. 网关。网关是隔离内部网络和外部网络的设备如防火墙、代理服务器等。在网关级别进行病毒防范可以起到对外部网络中病毒进行隔离的作用。
比如,NAI公司的McAfee AVD (Active Virus Defense)网络防病毒系统就是典型的例子,该系统包括桌面防病毒产品、服务器防病毒产品、邮件防病毒产品等,其全球用户数目已达到了6千万以上。当然,一个好的防病毒软件必须具备极高的病毒检测率和清除率。另外,防病毒软件还必须能够对各种格式的文件包括各种格式的压缩文件进行病毒的清除。
功能完善的防病毒软件控制台
所谓网络防病毒所讲的不仅仅是可以对网络服务器进行病毒防范,更加重要的是能够对防病毒软件通过网络进行集中的管理和统一的配置。一个能够完成集中分发软件、进行病毒特征码升级的控制台是非常必要的。
为了方便集中管理,防病毒软件控制台首先需要解决的就是管理容量问题。也就是每一台控制台能够管理到的客户机的最大数目。另外,对于一个企业内部的不同部门,我们有可能需要设置不同的防病毒策略。一个好的控制台应该允许管理员按照IP地址、计算机名称、子网甚至NT域进行安全策略的分别实施。
减少通过广域网进行管理的流量
在一个需要通过广域网进行管理的企业中,由于广域网的带宽有限,防病毒软件的安装和升级流量问题也是必须要考虑到的。好的防病毒软件应从各个方面考虑,尽量减少带宽占用问题。首先,自动升级功能允许升级发生在非工作时间,尽量不占用业务需要的带宽;其次,对于必须频繁升级的特征码,应采用必要的措施将其进行压缩,比如增量升级方式等。
方便易用的报表功能
一个网络中的病毒活动状况对于网络管理员来说是非常重要的。通过了解网络中的病毒活动情况,管理员可以了解哪些病毒活动比较频繁、哪些计算机或者用户的文件比较容易感染病毒以及发现的病毒的清除情况等等,以便修改病毒防范策略以及了解病毒的来源情况,方便进行用户、文件资源的安全管理。实用、界面友好的报表是一个网络防病毒软件必备的功能。
对计算机病毒的实时防范能力
传统意义上的实时计算机病毒防范是指防病毒软件能够常驻内存,对所有活动的文件进行病毒扫描和清除。这当然是一个防病毒软件必备的功能。这里说的防范能力是另外一种意义的自动病毒防范能力。目前由于病毒活动频繁,再加上网络管理员一般都工作忙碌,有可能会导致病毒特征码不能及时更新。这就需要防病毒软件本身能够具有一定程度的未知病毒识别能力。
快速及时的病毒特征码升级
能够提供一个方便、有效和快速的升级方式是防病毒系统应该具备的重要功能之一。正是由于防病毒软件需要不断进行升级,所以对防病毒软件厂商的技术力量和售后服务的要求也是格外重要。
综上所述,目前的防病毒工作的意义早已脱离了各自为战的状况,技术也不仅仅局限在单机的防病毒。目前,如果需要对整个网络进行规范化的网络病毒防范,我们必须了解最新的技术,结合网络的病毒入口点分析,很好地将这些技术应用到自己的网络中去,形成一个协同作战、统一管理的局面,这样的病毒防范体系,才能够称得上是一个完整的、现代化的网络病毒防御体系。
木马病毒有什么危害?
木马同病毒不是很一样 病毒主要以破坏数据,破坏软硬件为目的 木马则主要以偷窃数据,篡改数据为目的 中木马后有可能对丢失上网帐号,各种口令和用户名,远程控制你的电脑,远程控制开启你机器的外围设备 “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。 病毒(n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。 与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。 “木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
网络木马病毒对人的危害
木马病毒的危害
1、盗取我们的网游账号,威胁我们的虚拟财产的安全。 木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。 2、盗取我们的网银信息,威胁我们的真实财产的安全。 木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。 3、利用即时通讯软件盗取我们的身份,传播木马病毒。 中了此类木马病毒后,可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。 4、给我们的电脑打开后门,使我们的电脑可能被黑客控制。 如灰鸽子木马等。当我们中了此类木马后,我们的电脑就可能沦为肉鸡,成为黑客手中的工具。
木马病毒有什么危害
木马它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
查杀木马
建议你使用腾讯电脑管家,打开腾讯电脑管家选择“病毒查杀”选择“闪电查杀”就可以了。
腾讯电脑管家是一款免费专业的杀毒软件。
集“专业病毒查杀、智能软件管理、系统安全防护”于一身,
开创了“杀毒 + 管理”的创新模式。
电脑管家为国内首个采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,
并且应用了腾讯自研第二代反病毒引擎,资源占用少,
基于CPU虚拟执行技术能够根除顽固病毒,大幅度提升深度查杀能力。
电脑中木马病毒了,会有什么后果?
木马程序的危害是巨大的,它使用户的计算机随时暴露于黑客的控制与监视之下,黑客们可以利用木马程序建立的后门轻易窃取用户数据并传输到指定的计算机中,这较之传统的病毒只能破坏用户数据的危害又大了许多。因此,有效地检测与清除木马程序对保障计算机安全有着重要意义。
感染“木马”的典型症状在使用计算机的过程中如果您发现以下现象,则很有可能是感染了“木马”:计算机反应速度明显变慢硬盘在不停地读写键盘、鼠标不受控制一些窗口被无缘无故地关闭莫名其妙地打开新窗口网络传输指示灯一直在闪烁没有运行大的程序而系统却越来越慢系统资源占用很多运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)在关闭某个程序时防火墙探测到有邮件发出密码突然被改变,或者他人得知您的密码或私人信息文件无故丢失,数据被无故删改“木马”防范随着互联网的迅速发展,木马的攻击、危害性越来越大。木马程序虽然有着这样那样的破坏和隐蔽手段,但实质上仍是一种计算机程序,必须运行后才能工作,因此会在内存、注册表、系统目录中留下蛛丝马迹,我们可以通过“查”、“杀”将其“缉拿归案”。我们可以安装个人防病毒软件、个人防火墙软件;及时安装系统补丁;对不明来历的电子邮件和插件不予理睬;经常去安全网站,以便能及时了解一些最新的信息。当然用户还可以选用集查杀、监控、管理、升级于一体的专业级木马查杀工具--木马防线,它不仅可以查杀木马及其他恶意程序,还可以用内置的木马防火墙封堵计算机端口,全面保护计算机。
下面简单介绍一下:Trojan(特洛伊木马),Trojan(特洛伊木马)种类繁多、行为特征复杂。
Trojan.Bomb:以此为前缀命名的木马,可删除用户文件或者破坏扇区信息,导致用户文件丢失,系统不能启动等问题。Trojan.psw:以此为前缀命名的木马是盗取用户密码的窃贼,它们可以窃取用户系统密码或者email、icq、oicq等密码,并把密码发送到指定信箱,或者irc频道等等。Trojan. 频道中的后门脚本。Trojan. 频道中的后门脚本。Trojan.Dropper:木马捆绑和伪装工具,可以把木马绑定到其它文件上。Hacktool(黑客工具)许多黑客工具并不破坏被入侵机器本身的数据,但它可以通过机器攻击或者扫描其他用户的机器。以下介绍几种不同的黑客工具。DoS:拒绝服务攻击工具,攻击者可以通过远程控制的方法操纵用户计算机系统攻击其它节点。DDOS:分布式拒绝服务攻击工具,可以从多个节点攻击一个目标,导致目标瘫痪。Flooder:采用洪水包淹没目标IP,导致该节点瘫痪。Backdoor(后门)以Backdoor为前缀命名的Trojan(特洛伊木马)被称为远程控制木马,这是一类比较常见的有害程序,它包括服务器端和客户端。服务端寄生在被入侵的机器上,打开某一个或者多个端口,等待客户端的连接。一些公共场所的机器可能被“种植”后门工具的服务器端,用户也可能从mail、icq、msn、oicq或者mIRC中,收到攻击者传输来的服务端程序。有些后门工具并没有特殊的客户(控制)端,它们其实悄悄在被入侵的机器上开放web、telnet或者ftp服务,从而盗取用户资源。Worm(蠕虫)Worm(蠕虫)是一种通过电子邮件、IRC、mIRC或者其它网络途径,具有自我复制能力的有害程序。I-worm:也被称为网络蠕虫,它通过email或者ftp、web服务进行传播。IRC-worm:通过IRC频道传播的蠕虫。mIRC-worm:通过mIRC频道传播的蠕虫。
木马软件的危害是什么
我只能大致说下,因为这个也是要看病毒的类型来说。
1、电脑出现异常,如黑屏、蓝屏、死机、文件打不开等等
2、占用资源。有不明文件占用空间等
3、电脑速度变慢,变卡
4、帐号丢失。病毒或木马,会通过入侵电脑,伺机DAO取账号密码的恶意程序,它是电脑病毒中一种。通常木马会自动运行,在你的上网过程中,如果登录网银、聊天账号等,你的个人安全信息都会被窃取,从而导致用户账号被dao用、财产遭受损失。
一般情况下,轻的会经常弹出一些网页,拖慢网速;稍重的则会修改你的注册表,使文件无法正常使用;更严重的甚至会造成你的硬盘格式化,机器瘫痪。
【平时就应该保护好我们的电脑,给一些建议】
1、安装杀毒软件还是必要的,要及时更新病毒库,还要装防火墙(防木马、黑客攻击等),定期杀毒,维护好电脑运行安全;
推荐楼主可以安装腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!
其中软件升级、漏洞修复、垃圾清理,都有自动和定期设置,懒人必备
2、修复漏洞和补丁;打开腾讯电脑管家——工具箱——漏洞修复
3、平时不要上一些不明网站,不要随便下载东西;
4、还要提防随身移动存储设备(如U盘等,最近U盘病毒挺猖獗的);
5、不进不明不网站,不收奇怪邮件。下载完压缩包文件后先进行病毒扫描
6、关闭不必要的端口
7、要是有时间和精力的话,学一些电脑的常用技巧和知识;
最后,我要说的是,你要是平常的确是很小心,但还是中毒的话,那也是没办法的!(用Ghost备份系统是个不错的选择)
举例说明计算机病毒的危害,以及应该采取的有效防范措施。
网上太多了,你在百度一搜就N多。。
病毒是从哪里来的??
因为做IT撰稿人的身份,常和编辑们、软件厂商们合作。我一个很好的哥们是电脑报的资深编辑,他曾经就告诉我他绝大多数病毒都是杀毒软件公司本身开发的,而且“他们有更聪明的手段”。编辑没有说这种手段是什么。我估计是这个意思:雇用网上闲散的病毒作者,杀毒软件公司间共享病毒源代码。
早些有人怀疑,很多高品质的病毒,并不是一个人能做的如此精致,从其版本控制,分工代码风格不同等,像是团队开发出来的。
后来有一次我给光华反病毒软件公司写一个枪稿,是光华手机版,我没有手机病毒样本,就向光华技术人员要,技术人员说这是公司机密不能给我。后来他透露给我说,这一百多种手机病毒,除了流行的几种是世界性的广为人知的手机病毒,其余人们没听说过的全部都是光华内部自己研发的。只有他们的杀毒软件能干掉。
整个行业的默认的行规。不是他们一家。就像湘西赶尸。
没办法!互联网就是那样的!只有自己加强点意识
用脚毛想想都可以判定:60%以上的病毒都是杀毒厂商自己弄的,有的只是有个名称,有的却是拥有实质!反正我们消费者不懂病毒,就像病人不知道自己病在哪里一样,医生说?u毒褪巧叮?nbsp;
历史上第一个病毒,就是软件公司为反盗版做出来的。
老一点的电脑玩家应该记得当年KV300爆出的病毒丑闻。当年江民公司就是在KV300内加上了病毒,要是盗版的话病毒就会激活。
防病毒必学知识“病毒是怎么命名的”
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了:一般格式为:病毒前缀.病毒名.病毒后缀
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前着名的CIH病毒的家族名都是统一的“ CIH ”,振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多,可以采用数字与字母混合表示变种标识。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:着名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
7、病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girl ghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助
手工查杀木马的通用方法
一、关于木马
木马,其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。就我们前面所讲的木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
二、发现木马
由于木马是基于远程控制的程序,因此中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口,这是本机与网上主机通讯时打开的,IE一般会打开连续的端口:1025,1026,1027……,QQ会打开4000、4001……等端口。
在DOS命令行下用netstat -na命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外,还有其他端口被占用(特别是木马常用端口被占用),那可要好好查查了,你很有可能“中彩”了!比方说木马“冰河”所占用的端口是7626,黑洞2001所占用的端口是2001,网络公牛用的是234444端口……如果发现这些端口被占用了,基本上就可以判定: 你中木马了!
三、查找木马
首先要使你的系统能显示隐藏文件,因为一些木马文件属性是隐藏的。
多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现,不加入启动项在重启后木马就不执行了),启动项一般都是加在注册表中的,具体位置在:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值;HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。
如木马冰河的启动键值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]@="C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE"
广外女生1.51版的启动键值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Diagnostic Configuration"="C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE"
蓝色火焰0.5的启动键值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe"
不过,也有一些木马不在这些地方加载,它们躲在下面这些地方:
①在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马。
②在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe,注意这里的window.exe就是木马程序。
另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver= 路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所。
③在Autoexec.bat和Config.sys中加载运行
但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心哦。
④在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
⑤启动组
木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。
⑥*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。
⑦修改文件关联
修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的。“冰河”就是通过修改
HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C: \Windows\Notepad.exe %1”改为“C:\Windows\System\SYSEXPLR.EXE %1”,这样一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command 主键,查看其键值是否正常。
⑧捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
当发现可疑文件时,你可以试试能不能删除它,因为木马多是以后台方式运行的,通过按Ctrl+Alt+Del是找不到的,而后台运行的应是系统进程。如果在前台进程里找不到,而又删不了(提示正在被使用)那就应该注意了。
四、手工清除
如果你发现自己的硬盘总是莫明其妙地读盘,软驱灯经常自己亮起,网络连接及鼠标屏幕出现异常现象,很可能就是因为有木马潜伏在你的机器里面,此时就应该想办法清除这些家伙了。
那么如何清除木马而不误删其他有用文件呢?当你通过上述方法找到可疑程序时,你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年而不应该是最近的时间(安装最新的Win2000、 WinXP的系统除外),文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前,那八成就有问题了。
首先查进程,检查进程可以借助第三方软件,如Windows优化大师,利用其“查看进程”功能把可疑进程杀掉后,然后再看看原来怀疑的端口还有没有开放(有时需重启),如果没有了那说明你对了,再把该程序删掉,这样你就手工删除了这匹木马了。
如果该木马改变了TXT、EXE或ZIP等文件的关联,那你应把注册表改过来,如果不会改,那就把注册表改回到以前的就可以恢复文件关联,可通过在DOS下执行scanreg/restore命令来恢复注册表,不过这条命令只能恢复前五天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值,简单易用。
木马病毒有什么危害?
木马病毒的危害:
通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;
“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。它是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。