本文目录一览:
中了冰河或广外男生等木马后的迹象,以及如何清除该木马?
“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。
可以采用以下方法清除该病毒:
1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。
2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。
3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。
注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理。
[编辑本段]广外男生
简介
广外男生同广外女生一样,是广东外语外贸大学的作品。
特色
客户端模仿Windows资源管理器:除了全面支持访问远程服务器文件系统,也同时支持通过对方的“网上邻居”,访问对方内部网其他机器 运用了“反弹窗口”技术 使用了“线程插入”技术:服务器运行时没有进程,所有网络操作均插入到其他应用程序的进程中完成。即便受控端安装的防火强有“应用程序访问权限”的功能,也不能对广外男生的服务器进行有效警告和拦截。 不再支持传统的连接方式
广外男生木马的清除
1、检测广外男生木马的有效方法为使用“netstat -na”查看目标主机的网络连接情况,如果端口8225开放,那么该主机可能已经中了广外男生木马。 2、打开注册表编辑器,展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下,删除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”,删除ID为{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其下所有子键和键值。 3、点击 “编辑”菜单中的 “查找”,在注册表编辑器中搜索gwVboydl1。dll,找到所有和它有关的注册表项,全部删除。 4、删除system32目录下的gwboy.exe。然后进入DOS模式下,输入del winnt\system32\gwVboydll.dll命令,删除system32目录中的gwboydll.dll文件。
2017年著名的计算机病毒案例
一、敲诈者
2006年6月11日,国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”(Trojan/Agent.bq),病毒可恶意隐藏用户文档,并借修复数据之名向用户索取钱财。“敲诈者”在被截获后短短10天内,导致全国数千人中招,许多个人和单位受到重大损失。一名为大叔的网民由于中了敲诈者,合同文本被病毒隐藏,使得本来到手的订单丢失,该网民出于愤怒地在网上发帖称在悬赏十万元网上通辑一名为“俊曦”的病毒作者。虽然病毒作者声称编写病毒只是为了“混口饭吃”,但由于他触犯了法律,最终也未能逃脱法律的惩罚,7月24日,广州警方宣布破案这一国内首例敲诈病毒案,作者被警方刑事拘留,等待他将是法律的严惩。
二、微软WMF漏洞被黑客广泛利用,多家网站被挂马
2006年 春节 前后,早在去年12月份就被曝光的WMF漏洞成2006年 电脑安全 第一场噩梦。 2006年12月28日,江民反病毒中心监测到,Windows在处理特殊WMF文件(也就是图元文件)时存在问题,可以导致远程代码执行,如果用户使用Windows图片传真查看程序打开恶意WMF文件,甚至在资源管理器中预览恶意WMF时,也都存在代码执行漏洞。虽然1月6日微软发布了安全补丁,然而,在1月底,,针对该漏洞的木马病毒已经在我国互联网上呈蔓延之势。1月26日,江民反病毒研究中心已发现数家网站被 种植 此类木马病毒,与此同时,网上众多网站都在公开售卖WMF木马生成器,没有安装杀毒软件的电脑用户点击其中任意链接即中毒。2月初,WMF木马传播变本加励,发展到通过搜索引擎贴吧、MSN疯狂传播,后来在反病毒厂商的围剿下,WMF木马才渐渐郾旗息鼓。
三、病毒假冒工行电子银行升级
2006年6月27日,网友举报,他在登陆工行网上个人银行时,系统突然弹出电子银行系统正在升级并要求修改密码的提示,于是他按要求再次输入登陆和支付密码,然而当点击“确定”后,电脑中的“江民密保”突然发出“不明程序向外发送密码”的警示,于是他紧急与工行联系,才发现工行根本就没有升级电子银行系统,他怀疑是感染了电脑病毒,并庆幸自己发现的及时,要不账户中的存款就易手他人了。
江民反病毒工程师分析后认为,这是病毒假冒工行电子银行升级通知,目的在于盗取工行用户的帐号密码,联想到今年工行网银用户集体维权事件,不禁令人对网上银行的安全性再生疑惑。
四、魔鬼波病毒爆发
2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”(Backdoor/Mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。微软在8月8日例行发布的MS06-040安全公告中称,其 操作系统 Server服务漏洞可能允许远程执行代码,并建议电脑用户立即升级。
似乎已经成为一种规律,每年都会出现一个攻击微软新漏洞的“某某波”,03年的“冲击波”,04年的“震荡波”,05年的“极速波”,今年的“魔鬼波”,真可谓“一波未平,一波又起”。
五、光大证券网站多款软件被捆绑木马
2006年8月25日,江民科技反病毒中心监测到,光大证券阳光网()站点上提供的“光大证券新版网上交易系统”、“光大证券专业分析版2003”、“光大证券金典2005”等多款软件的安装程序捆绑了木马。用户运行这些安装程序的同时,会下载网银木马,威胁用户工商银行网上银行的帐号密码安全。江民反病毒专家分析, 根据光大证券HTTP服务器返回的信息,这些恶意安装程序是2006年8月18日上线的,至今已经带毒运行了一周左右,估计已经有不少网上证券系统的用户感染了该病毒。专家分析,很有可能是光大证券的服务器遭受了黑客入侵导致。
按理说,银行、证券网站的安全性应该是很有保障的,而且网站服务器还装了一款所谓国际品牌的杀毒软件,怎么就会轻易被黑客攻陷并还种了木马呢?是网管员太无能还是国外杀毒软件太弱智?
六、威金病毒大闹互联网
10月中上旬,江民反病毒中心监测到,“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁,已有多家企业用户 报告 感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示,该病毒从2005年5月19日首次出现至今,保守估计感染电脑数近50万台,变种数量突破了500种,实在可以称为是2006年病毒之王。
七、建行云南网站遭假冒
2006年11月2日,江民公司反病毒中心监测到,一个恶意网站假冒中国建设银行云南分行网站,传播"QQ大盗"和武林外传游戏木马。
假网站调用多个恶意脚本,下载并自动运行“QQ大盗”木马和“武林外传”两个木马,这两个木马会对用户的QQ号和武林外传游戏帐号构成很大威胁,并会尝试关闭多款国内外知名杀毒软件。
一般来说,病毒盗个QQ号什么的不算大事,可你要是看了这条新闻就不会这么认为了。12月15日,深圳晶报报道,一伙平均年龄仅21岁的“网络大盗”一年内盗取QQ号、Q币数百万个,通过网络交易平台售卖,非法牟利70余万元,涉案人员竟有44名。原来小小的QQ号也存在这么大的利润可图,犯罪份子就是抓住网民这种认为QQ号价值不大不值得追究的心理,最终造成了一个大案。
八、银联网站被黑成悬案
11月22日,反病毒厂商称某金融官方网站首页被黑客嵌入恶意程序,用户点击网站首页后,系统即可自动下载一后门程序,中毒用户电脑存在被黑客偷窥的风险。反病毒工程师介绍,该后门程序名为黑洞2005,是一个江民一年前就已经截获并大范围发布预警的老病毒。该病毒具有强大的穿透防火墙能力,可以禁止防火墙并开启染毒电脑的摄像头,进行远程监控、远程摄像等操作。病毒还会将自身添加为“服务”,达到开机自动启动的目的,隐蔽性很强。
但这条消息被某金融网站否定,究竟谁是谁非,由于时过境迁,事实无法重现,唯有提醒电脑用户以后上网时一定要穿好防毒衣(打开杀毒软件网页监控),防患于未然。
九、“瑞波”危害超过“魔鬼波”?
8月24日,江民科技反病毒中心发布紧急病毒警报,自上周“魔鬼波”病毒肆虐互联网以来,江民公司反病毒中心监测到,“瑞波”(Backdoor/RBot)蠕虫新变种正在利用微软的MS06-040等多种系统漏洞大肆传播,目前已发现国内大量用户被病毒感染,中毒用户的系统可被黑客远程完全控制。仅8月23日一天,有3个“瑞波”新变种的泛滥程度都超过了“魔鬼波”(Backdoor/Mocbot)蠕虫。
十、天涯虚拟社区网站首页带毒
2006年11月22日,江民公司反病毒公司监测到,天涯虚拟社区网站首页带毒。如果用户没有安装过微软的MS06-014安全补丁,在使用IE浏览器访问该网页时,就会感染木马程序Trojan/Hitpop。该木马会在后台点击某些网页,制造虚假流量,并会关闭多款杀毒软件和防火墙。
23日,天涯首页上的恶意代码已经被删除。江民公司提醒广大网民,特别是天涯社区用户,请立即更新杀毒软件的病毒库,对您的系统进行全面扫描。
著名的计算机病毒案例
NO.1 “CIH病毒” 爆发年限:1998年6月
损失估计:全球约5亿美元
NO.2 “梅利莎(Melissa)” 爆发年限:1999年3月
损失估计:全球约3亿——6亿美元
NO.3 “爱虫(Iloveyou)” 爆发年限:2000年
损失估计:全球超过100亿美元
NO.4 “红色代码(CodeRed)” 爆发年限:2001年7月
损失估计:全球约26亿美元
NO.5 “冲击波(Blaster)” 爆发年限:2003年夏季
损失估计:数百亿美元
NO.6 “巨无霸(Sobig)” 爆发年限:2003年8月
损失估计:50亿——100亿美元
NO.7 “MyDoom” 爆发年限:2004年1月
损失估计:百亿美元
NO.8 “震荡波(Sasser)” 爆发年限:2004年4月
损失估计:5亿——10亿美元
NO.9 “熊猫烧香(Nimaya)” 爆发年限:2006年
损失估计:上亿美元
NO.10 “网游大盗” 爆发年限:2007年
损失估计:千万美元
我提醒:
一)、新发现电脑病毒数量逐年持续增长——
据悉,在新增病毒中,弹窗 广告 因具有很大迷惑性已成电脑病毒主要类型。据腾讯电脑管家实验室相关数据显示,截至到2014年12月31日,2014年电脑端感染最多的前十位病毒类型分别为:弹广告、盗取QQ帐号及密码、刷流量、Rootkit、篡改或锁定主页、恶意注入、恶意下载器、盗取游戏帐号及密码、后门或远程控制、劫持浏览器。
同时了解到,在所有病毒类型中,弹广告被报告频次最高,占到了病毒总数的20%。腾讯电脑管家反病毒实验室认为,弹窗广告具有很大的迷惑性,常常利用用户对弹窗广告已经习以为常的社会心态,故意诱导用户去手动关闭该弹窗,实现通过广告木马强迫用户访问其恶意推广网站和传播病毒的目的。
二)、网页下载成为电脑病毒传播高发地——
在病毒传播 渠道 中,最大的传播途径为网页下载。2014年通过网页下载进行传播的病毒量依然占72%,较去年降低了6.7%;第二大病毒传播渠道为即时通讯工具(IM渠道传播),占总量的18%,较去年增加了21.05%,较前年增加了124.4%,说明随着即时通讯工具的普及,该渠道也逐渐成为恶意攻击青睐的传播途径;第三大传播渠道为邮箱传播,通过该渠道传播的病毒量占总数的6%,较2013年也有明显增加。
此外,随着各种云盘的推广和普及,通过移动存储设备传播的病毒数较2013年下降了35.5%。报告分析认为,未来随着社交化产品的普及,整个社会越来越关系化和网络化,网络社会开始崛起,基于社会关系网等精准化病毒传播方式将越来越成为主流传播渠道。
三)、夏季是病毒出没集中季——
还有就是从病毒爆发时间来分布看,夏季成为了“病毒季”。新发现病毒数全年呈M型分布,由于暑期青少年网民激增呈高发态势。更进一步分析显示,流氓软件、恶意网址也在夏季集中爆发。
腾讯电脑管家统计数据显示,从盗号木马新发现的病毒数量1-12月的每个月的分布来看,6-12月新发现木马数为1-5月木马数的近两倍。8月和10月为木马病毒盛行的高峰期,占到了全年木马总数的30.45%,其中8月为最高峰,占总数的15.64%主要是由于暑期学生放假,年轻网民群体数量急剧增长,网络安全意识不高,很容易被盗号木马感染、传播。
微点案是怎么回事?
2005年10月,由北京瑞星科技股份有限公司原董事、总经理刘旭创办的东方微点公司,在“防病毒公司传播病毒”的新闻传播下名誉扫地,致使东方微点公司高管田亚葵被非法关押11个月。随后经过调查,田亚葵案背后的黑幕被查清:瑞星公司当时为了扼杀微点这个新生的杀毒公司,请托北京市公安局网监处处长于兵通过假报案、假损失、假鉴定的手法陷害竞争对手。于兵被北京市纪委立案调查,瑞星副总裁赵四章被批捕。2010年12月6日,金山公司诉360董事长周鸿祎名誉侵权案开庭。该案核心,是被告在微博上披露的金山公司在微点案中作伪证一事是否属实。
2005年7月,北京市公安局公共信息网络安全监察处原处长于兵接受北京瑞星的请托,指令网监处案件队负责人张鹏云查处微点公司的防病毒业务。同月,张鹏云与网监处公安齐坤根据于兵的布置,到北京思麦特管理顾问有限公司和北京健桥证券股份有限公司北京管理部,在两公司电脑并没有损失的情况下,要求两公司各出具十万元损失的虚假材料。
2005年8月27日,为证实从思麦特、健桥查到的木马病毒、蠕虫病毒来自东方微点副总经理田亚葵的笔记本电脑,于兵召集病毒专家论证会。论证过程中,于兵没有如实给专家提供材料,专家最终意见为“基本可以确定”。在于兵的授意下,齐坤改为“可以确定”。
2005年8月30日深夜,田亚葵于深夜在家中被抓。根据遗存的视频,田当时仅身穿一条短裤。于兵同时通缉东方微点员工崔素晖。
2005年9月,由于缺少报案材料,于兵指使张鹏云、齐坤二人到北京江民、北京金山、北京启明星辰公司,说服这些公司出具虚假的病毒爆发报案材料。于兵还指使张鹏云通过中润华会计事务所对有关损失进行评估。该会计事务所由瑞星副总经理赵四章推荐,合伙人为瑞星独立监事邹志文。
2005年10月21日,北京市公安局网监处根据审计结果,认定田亚葵构成计算机信息系统罪,侵犯商业机密罪。 “破获国内首例防病毒公司传播病毒案”的新闻对外正式发布,由北京瑞星科技股份有限公司原董事、总经理刘旭创办的东方微点公司,在“防病毒公司传播病毒”的新闻传播下名誉扫地。此案当年被称为“国内网络传播病毒第一案”。在监牢中,田亚葵经常以写诗泄愤,“那是为了自我激励,自我安慰,我怕自己撑不下去。”
在此后的三年,东方微点走上了一条艰难的上访上诉之路。在多方努力下,田亚葵于2006年7月29日取保候审。为了还田亚葵和东方微点一个清白,刘旭等人继续锲而不舍。
2008年7月17日,北京市纪委介入,调查于兵受贿案。
2008年9月18日,于兵在南非被捕。12月17日,北京市公安局内部为此案专门召开“市公安局领导干部纪律作风教育电视电话会议”,北京市公安局局长、市委常委马振川指出,这是于兵收受瑞星贿赂,指使张、齐二人调取假报案、假损失、假证据材料制造的一起假案,并要求全局干部要引以为戒。10月7日张、齐二人在北京被抓捕归案。
检方指控,于兵案的涉案金额共1400余万元,其中受贿上千万元。于兵被指控一共受贿4笔,全是他任北京市公安局网监处处长期间所为,行贿者是4家网络公司。其中瑞星向其行贿达420余万元,是被指控的第一项。据了解,于兵受贿采用签假协议等形式,他受贿所得都买了字画,其中一张画就值近300万元。庭审中,于兵表示对贪污、受贿、徇私枉法三项指控认罪。
2008年2月,微点主动防御软件拿到了被阻挠近三年的销售许可证。
2009年8月,办案民警张鹏云犯徇私枉法罪,被判处有期徒刑3年,缓刑3年。齐坤犯徇私枉法罪,被判处有期徒刑3年,缓刑3年,
2010年8月20日上午,北京市公安局网监处原处长于兵贪污、受贿、徇私枉法案,在北京市一中法院做出一审判决。法院认定起诉书指控于兵贪污、受贿1400余万元的犯罪事实成立,以三项罪名判处于兵死刑缓期两年执行。于兵案是近年北京公安系统爆出的最大一起腐败案件,于兵本人也成为北京公安系统因腐败被判处最高刑罚的官员。
广东摧毁盗刷微信支付的犯罪团伙是怎么回事?
新华社广州5月20日电(记者陈寂)记者20日从广东省公安厅获悉,广东警方近日在“安网3号”专案收网行动中,捣毁多个利用传播木马病毒实施网络盗窃的犯罪团伙,成功抓获240余名犯罪嫌疑人。
2016年9月,东莞警方接受害人江某报案称,其电脑中了木马病毒导致支付宝遭盗刷1372元。同时,东莞警方也接到支付宝(中国)网络技术有限公司报案称,多名客户的支付宝账户被盗刷前存在异常登录。
警方分析研判发现,盗刷案背后存在一个利用计算机木马病毒程序实施网络盗窃的特大犯罪团伙。广东省公安厅立即成立专案组对全省非法制作、出售、传授木马病毒程序网络行为和案件线索进行集中梳理核查,并将此案列为“安网3号”专案。
专案组侦查发现,这是一起由陈某、许某伟、桑某等为首、利用制售计算机木马实施网络盗窃的特大犯罪团伙案件。该团伙通过QQ等向受害人发送捆绑木马程序的文件,当受害人点击文件引致木马程序静默运行后,随即对用户屏幕监控、键盘记录、远程控制等方式窃取受害人网络金融账户、游戏账号等密码信息,最终盗刷受害人账户资金或变现交易游戏装备。
同时,相关团伙还利用向受害人手机植入木马程序等手段,拦截手机短信验证码,使其手机弹出伪装成微信重新登录的“钓鱼”界面,引诱受害人输入账号密码,接着再以安全验证为由,弹出支付密码的“钓鱼”界面,诱使受害人输入关键信息。在成功获取受害人微信登陆账号、微信支付的密码以及短信验证码后,犯罪分子对受害人的微信账号进行包括微信转账等一系列操作。
4月24日至5月10日,在公安部的协调指挥下,广东省公安厅开展“安网3号”专案收网行动,针对上述违法犯罪行为实施跨省大规模集群战役,成功抓获以陈某、许某伟、桑某等为首的240余名犯罪嫌疑人,破获案件180余起,查获木马病毒程序130余个,缴获扣押服务器、电脑、手机等涉案物品一批。
警方提醒广东群众,要增强网络安全防范意识,不要轻易点击访问不明网页链接,尤其是不良网站的链接和陌生人通过QQ发送的链接。如果不慎遭受黑客攻击,应及时退出网络金融账号、微信等重要平台并切断网络,避免隐私泄露或金融账户遭盗刷。