本文目录一览:
- 1、木马病毒有什么危害?
- 2、什么是杀毒软件“云安全”
- 3、历史计算机病毒事件
- 4、百度安全中心提醒:您的电脑已经感染严重木马病毒,请及时清除以免导致CPU温度过高而爆炸。怎么办???
- 5、计算机病毒和木马的工作原理和过程(好的追加200)
- 6、计算机病毒的主要特征?
木马病毒有什么危害?
木马病毒的危害:
通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;
“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。它是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
什么是杀毒软件“云安全”
云安全
[编辑本段]媒体报道
7月16日,瑞星公司正式发布“瑞星卡卡上网安全助手6.0版”,同时推出了基于互联网的全新安全模式——“云安全”(Cloud Security)计划。瑞星安全专家表示,瑞星卡卡6.0完全基于互联网设计,是瑞星“云安全”(Cloud Security)计划的重要组成部分,该产品独有“自动在线诊断、木马行为判断与拦截、木马下载拦截”等三大独创的反木马功能,是一款集防、查、杀于一体的全新的反木马利器。从即日起,所有用户都可以登录瑞星网站,免费下载使用该产品(tool.ikaka.com)。
瑞星“云安全”(Cloud Security)计划的内容是,将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”(Cloud Security)计划贡献一份力量,同时分享其他所有用户的安全成果。
“瑞星卡卡6.0”的“自动在线诊断”模块,是“云安全”(Cloud Security)计划的核心之一,每当用户启动电脑,该模块都会自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),整个过程只需要几秒钟。随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(Rising Security Database,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
瑞星工程师尹松介绍,瑞星卡卡6.0本身只是一个数兆大小的安全工具,但是它的背后是国内最大的信息安全专业团队,是瑞星“木马/恶意软件自动分析系统”(RsAMA)和“瑞星安全资料库”(RsSD),同时共享着数千万其他瑞星卡卡6.0用户的可疑文件监测成果。
尹松总结道,整个互联网,变成了一个超级大的“杀毒软件”,这就是瑞星“云安全”(Cloud Security)计划的宏伟目标。
根据瑞星公布的资料,目前木马病毒呈现出爆炸性增长的趋势。据统计,自从1988年莫里斯蠕虫病毒出现直到2004年,全球病毒总数不过10万,而目前瑞星每天就能截获8-10万种新病毒。海量的新增病毒和产业链化的攻击行为,导致安全公司的传统反病毒模式失效,因此全球安全行业都在寻找新的技术和安全模式。
国外反病毒公司Trend Micro的CEO上个月曾表示,目前反病毒业界的状况糟糕极了,只有“云-客户端”的架构才能有效地打击黑客;而欧洲安全厂商Panda则于今年5月份在巴塞罗那公布了一个类似的战略。
瑞星副总裁毛一丁表示,“这次我们走在了全球安全行业的前端”。瑞星“云安全”(Cloud Security)计划从去年底开始实施,其核心平台“木马/恶意软件自动分析系统”(RsAMA)从3月底投入试运行以来,目前每天能处理10万个新木马病毒。该系统采取病毒样本自动分类与共性特征提取的策略,采用瑞星多年积累的虚拟机脱壳、行为判断和族群式查杀等技术,可以自动分析、处理绝大多数新增木马病毒。
毛一丁重申,依靠瑞星强大的专业团队和全新的“木马/恶意软件自动分析系统”(RsAMA),每个瑞星卡卡6.0用户都将成为互联网安全的前哨,“我们相信,随着‘云安全’(Cloud Security)计划的展开,国内互联网上木马横行的局面即将有较大的改观”。他邀请所有电脑用户都来使用免费的瑞星卡卡6.0,全民防御,绝杀肆虐互联网的木马病毒。
[编辑本段]名称由来
“云安全”这个名字是马刚起的,本打算叫“安全云”,被大家鄙视,以为土气。
其实,这个概念早就有了,只不过瑞星动的比较快。“云计算”之前,有个很热的概念叫做“网格计算”,就是把大家的计算机联合起来,贡献出一些空闲的计算能力,供大家随时取用。
google是“网格计算”最早的利用者之一,他的服务器都是用廉价的PC机联合起来,用来取代昂贵的服务器,以提供大容量搜索要求的计算能力。其中的技术难点,就在于并行计算、服务器通讯这些技术。
云计算也好,网格计算也好,都是互联网出现之后的产物,PC的处理能力越来越强,普通用户根本用不到那些空闲的计算能力,有人就废物利用,这就是最通俗的“网格计算”、“云计算”的表述。
其中最典型的应用之一,就是“寻找外星人”计划,大家下载一个客户端,你空闲的时候,它就在那里默默计算,很努力的样子……
瑞星早就有这个想法,而真正落实到实践,还是今年的3月份,卡卡5.2中集成了“自动诊断”功能。开机的时候,这个模块会自动扫描,如果发现异常行为的程序,则上传到服务器进行分析。分析完毕,如果不是病毒,则无操作;如果是病毒,则把特征码返回给卡卡,用户运行卡卡扫描,即可清除病毒。
由于卡卡有几千万活跃用户,这些用户中只要有任何一个中毒,则样本一定会被收集上来,这样就可以最大程度的解决木马样本收集困难的问题。
而自动脱壳、行为判断识别未知病毒等等技术的进步,使得瑞星的服务器可以自动处理绝大部分卡卡上传的新病毒。这样,用户中毒——卡卡自动上传——服务器返回分析结果——查杀,这样的过程最短可以在几秒钟之内完成。这样,理论上可以使病毒造成的危害降低到最小。
因为,这短短的几秒钟,一个病毒能感染几台电脑?这样的危害损失,相对于六千万PC的存量来讲,已经几乎接近于零了。
当然,有一小部分病毒是服务器无法自动处理的,这就要求工程师参与的人工分析。由于少了那些机器自动处理病毒的拖累,工程师的效率同样可以上升到最高。
这样,由瑞星服务器、数千万卡卡用户就可以组成虚拟的网络,简称为“云”。病毒针对“云”的攻击,都会被服务器截获、记录并反击。被病毒感染的节点可以在最短时间内,获取服务器的解决措施,查杀病毒恢复正常。这样的“云”,理论上的安全程度是可以无限改善的。
“云”最强大的地方,就是抛开了单纯的“客户端”防护的概念。传统客户端被感染,杀毒完毕之后就完了,没有进一步的信息跟踪和分享。而“云”的所有节点,是与服务器共享信息的。你中毒了,服务器就会记录,在帮助你处理的同时,也把信息分享给其它用户,他们就不会被重复感染。
于是,这个“云”笼罩下的用户越多,“云”记录和分享的安全信息也就越多,整体的用户也就越强大。
这才是网络的真谛,也是所谓“云安全”的精华之所在。
"云安全"和"云计算"的区别 云计算是 一群的机算单元的计算能力协同、分享。 云安全是 一群探针的结果上报、专业处理结果的分享(预防)(云安全好处是理论上可以把病毒的传播范围控制在一定区域内!和探针的数量、存活、及病毒处理的速度有关)
新增功能:
木马下载拦截
基于业界领先的反木马技术,拦截中毒电脑通过网络下载更多的病毒和盗号木马,截断木马进入用户电脑的通道,有效遏制“木马群”等恶性木马病毒的泛滥。
木马行为判断与拦截
基于强大的“智能主动防御”技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。
自动在线诊断
瑞星“云安全”(Cloud Security)计划的核心功能。自动检测并提取电脑中的可疑木马样本,并上传到瑞星“木马/恶意软件自动分析系统”(Rs Automated Malware Analyzer,简称RsAMA),随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过“瑞星安全资料库”(Rising Security Database,简称RsSD),分享给其他所有“瑞星卡卡6.0”用户。
增强功能:
全新的“漏洞扫描与设置”,自动修复操作系统及第三方软件漏洞
应用全新开发的漏洞扫描引擎,智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。用户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作,同时更加及时的帮助用户在第一时间弥补安全隐患。
强力系统修复
对于被病毒破坏的系统设置,如IE浏览器主页被改、经常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host文件,使电脑恢复正常。
强大的进程、启动项管理
帮助用户有效管理电脑中的驱动、开机自启动软件、浏览器插件等,可有效提高用户电脑的运行效率。
高级工具集
针对熟练电脑用户,卡卡上网安全助手6.0提供了全面的实用功能:垃圾文件清理、系统启动项管理、服务管理、联网程序管理、LSP修复、文件粉碎和专杀工具。
七大监控保护用户系统安全
卡卡上网安全助手6.0,具有自动在线诊断、U盘病毒免疫、自动修复系统漏洞、木马行为判断与拦截、不良网站防护、IE防漏墙和木马下载拦截7大监控体系。全面开启保护用户电脑安全。
使用说明:
本软件支持Win 2000/XP/2003操作系统。
软件所包含的浏览器工具栏支持 IE 5.0/6.0/7.0版本。
[编辑本段]拥有云安全的厂商:
江民科技 MCAFEE PANDA 趋势 SYMANTEC 金山 卡巴 NOD32 360安全卫士
历史计算机病毒事件
1、最初"计算机病毒"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书,书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机病毒。
2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发,发明了"磁芯大战"游戏。
3、1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。
4、世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了"大脑(Brain)"病毒,又被称为"巴基斯坦"病毒。该病毒运行在DOS操作系统下,通过软盘传播,只在盗拷软件时才发作,发作时将盗拷者的硬盘剩余空间吃掉。
5、1988年11月美国国防部的军用计算机网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多计算机感染,直接经济损失9600万美元。莫里斯病毒是由康乃尔大学23岁的罗特?莫里斯制作。后来出现的各类蠕虫,都是仿造了莫里斯蠕虫,以至于人们将该病毒的编制者莫里斯称为"蠕虫之父"。
6、1999年 Happy99、美丽杀手(Melissa)等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。
7、CIH病毒是继DOS病毒的第四类新型病毒,CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆,共有三个主要版本:1.2版/1.3版/1.4版,发作时间分别是4月26日、6月26日、每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。
CIH病毒制造者 陈盈豪 曾有两次精神科门诊记录,被人们认为是"电脑鬼才"。
8、2000年的5月,通过电子邮件传播的"爱虫"病毒迅速在世界各地蔓延,更大规模的发作,造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫病毒是使用VB Script程序语言编写的病毒,它主要是通过一封信件标题为"I LOVE YOU"的电子邮件传播的。一旦执行附加文件,病毒会获取Outlook通讯录的名单,并自动发出"I LOVE YOU"电子邮件,从而导致网络阻塞。破坏性:爱虫病毒的传播会导致网络瘫痪,病毒发作时,还会把*.mp3、*.jpg等10种文件改为*.vbs,并传染覆盖这些文件。
与爱虫病毒相似的网络病毒还有Melissa(美丽杀手病毒)等。
9、着名的"黑色星期五"病毒在逢13号的星期五发作。
10、2001年9月18日出现的Nimda病毒则是病毒演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,具备了典型的黑客特征。它的出现意味着,混合着多种黑客手段的病毒从此诞生。
尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒,它通过网络进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封"来历不明"的电子邮件,就会发现随信有一个名为readme.exe(即可执行自述文件)的附件,如果该附件被打开,尼姆达就顺利地完成了侵袭电脑的第一步。接下来,该病毒不断搜索局域网内共享的网络资源,将病毒文件复制到用户计算机中,并随机选择各种文件作为附件,再按照用户储存在计算机里的邮件地址发送病毒,以此完成病毒传播的一个循环过程。
11、2002年,求职信Klez病毒,邮件病毒,主要影响微软的Outlook Express用户。
12、"附件在哪啊?你找到我吗?放心打开来,这是一个重要文件,可以查杀QQ病毒的专杀工具请查收附件。"如果你收到一封这样的电子邮件,千万不要打开,这是国内第一例中文混合型病毒,会导致电脑里的各种密码,包括操作系统、网络游戏、电子邮件的各种密码被窃取。
13、冲击波,2003年8月11日,冲击波席卷全球,利用微软网络接口RPC漏洞进行传播,造成众多电脑中毒,机器不稳定,重启,死机,部分网络瘫痪,没打过补丁的WINDOWS操作系统很难逃出它的魔爪。
14、震荡波:具有类似冲击波的表现形式,感染的系统重新启动计算机,原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。
15、小球病毒,作为Dos时代的老牌病毒,它也是国内流行起来的第一例电脑病毒。小球病毒可以险恶地控制电脑,使程序运行缓慢甚至无法运行。
特洛伊木马,一经潜入,后患无穷
据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击,一度使伊拉克的国防通讯陷于瘫痪。
1、MSN小丑(MsnFunny),自动向用户的msn发送消息和病毒
2、Word文档杀手:破坏文档数据,记录管理员密码。
3、雏鹰(BBeagle):木马程序,电子邮件传播,监测系统时间,2004年2月25日则自动退出。
4、好大(Sobig):1分钟300封病毒邮件
5、红色代码(I-Worm Redcode):感染对象,服务器,修改服务器网站网页
6、蓝色代码(Bluecode):启动多个进程,系统运行速度非常慢,cpu占用率急速上升,甚至瘫痪
7、密码杀手2004:通过键盘记录技术截取几乎所有登录窗口的输入信息,通过电子邮件发送给病毒作者。
8、挪威客(Mydoom.e):疯狂发送带毒邮件,随机删除计算机数据。
9、网络天空(Netsky):带毒邮件大量传播,消耗网络资源,影响企业的邮件服务器
10、武汉男生:qq发送诱惑信息,盗取传奇密码以邮件形式发给盗密码者,并结束多种反病毒软件。
11、证券大盗(PSW.Soufan):特洛伊木马,盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。
2008年度十大病毒/木马
根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出以下十大病毒/木马为2008年最具影响的十大病毒/木马。
1、 机器狗系列病毒
关键词:底层穿磁盘 感染系统文件
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗",该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的网络虚拟财产造成巨大威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
2、AV终结者病毒系列
关键词:杀毒软件无法打开 反复感染
AV终结者最大特点是禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入"病毒"相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点,是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马最大的特点就是通过ShellExecuteHooks启动,盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等病毒出现。
4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
5 、扫荡波病毒
关键词:新型蠕虫 漏洞
这是一个新型蠕虫病毒。是微软"黑屏"事件后,出现的最具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载"扫荡波",同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。
微软宣布"黑屏"后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,"扫荡波"病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实"扫荡波"实为一个新型蠕虫病毒,并发布周末红色病毒预警。
6、QQ盗圣
关键词:QQ盗号
这是QQ盗号木马系列病毒,病毒通常释放病毒体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:Program FilesInternet Explore),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找QQ登陆窗口,监视用户输入盗取的帐号和密码,并发送到木马种植者指定的网址。
7、RPC盗号者
关键词:不能复制粘贴
该系列木马采用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
8、伪QQ系统消息
关键词:QQ系统消息,杀毒软件不能使用
经金山毒霸"云安全"检测为钓鱼程序,病毒最大的特点是伪装QQ系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该病毒的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能,可下载其它木马到电脑中运行。
9、QQ幽灵
关键词:QQ 木马下载器
此病毒查找QQ安装目录,并在其目录释放一个精心修改psapi.dll,当QQ启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量病毒到用户电脑。
10、磁碟机
关键词:无法彻底清除 隐蔽
磁碟机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁碟机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,病毒在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,盗取用户虚拟资产和其他机密信息;同时该病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
二、2008年计算机病毒、木马的特点分析
2008年是病毒、木马异常活跃的一年。从病毒传播的角度看2008年大量的病毒通过网页挂马方式进行传播,主要利用的是realplay,adobe flash和IE漏洞进行传播。从病毒的运作模式看2008年大量病毒采用的方式是下载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑--盗取用户网游的账号发送到黑客的数据库。从病毒的危害来看2008年绝大多数流行的病毒都为网游盗号类木马,其次是远程控制类木马。
1、病毒制造进入"机械化"时代
由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化,病毒作者开始按照既定的病毒制作流程制作病毒。病毒制造进入了"机械化"时代。
这种"机械化"很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。"病毒制造机"是网上流行的一种制造病毒的工具,病毒作者不需要任何专业技术就可以手工制造生成病毒。金山毒霸全球反病毒监测中心通过监测发现网络上有诸多此类广告,病毒作者可根据自己对病毒的需求,在相应的制作工具中定制和勾选病毒功能。病毒傻瓜式制作导致病毒进入"机械化"时代。
病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。金山毒霸2009依托于"云安全"技术,一举实现了病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内,给用户带来了更好的安全体验。
2、病毒制造的模块化、专业化特征明显
病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块,使得病毒的各方面功能都越来越"专业",病毒技术得以持续提高和发展,对网民的危害越来越大,而解决问题也越来越难。例如年底出现的"超级AV终结者"集病毒技术之大成,是模块化生产的典型代表。
在专业化方面,病毒制造业被自然的分割成以下几个环节:病毒制作者、病毒批发商、病毒传播者、"箱子"批发商、"信封"批发商、"信封"零售终端。病毒作者包括有"资深程序员",甚至可能有逆向工程师。病毒批发商购买病毒源码,并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去,以盗取有价值的QQ号码、游戏帐号、装备等。"箱子"批发商通过出租或者销售"箱子"(即可以盗取虚拟资产的木马,可以将盗取的号码收集起来)牟利,他们往往拥有自己的木马或者木马生成器。"信封"批发商通过购买或者租用"箱子",通过出售收获的信封牟利。"信封"零售终端负责过滤"信封"中收集到的有价值的虚拟资产并进行销售。每个环节各司其职,专业化趋势明显。
3、病毒"运营"模式互联网化
病毒团伙经过2008一年的运营已经完全转向互联网,攻击的方式一般为:通过网站入侵-写入恶意攻击代码-利用成为新型网络病毒传播的主要方式,网民访问带有挂马代码的‘正常网站'时,会受到漏洞攻击而‘不知不觉'中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益,进行销售分成)。
例如 "机器狗"病毒,"商人"购买之后,就可以通过"机器狗"招商。因为机器狗本身并不具备"偷"东西的功能,只是可以通过对抗安全软件保护病毒,因此"机器狗"就变成了病毒的渠道商,木马及其他病毒都纷纷加入"机器狗"的下载名单。病毒要想加入这些渠道商的名单中,必须缴纳大概3000块钱左右的"入门费"。而"机器狗"也与其他类似的"下载器"之间互相推送,就像正常的商业行为中的资源互换。这样,加入了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的,就向哪个渠道缴费。
此外,病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广,黑客网站也是推广的重要渠道,此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化,销售的典型渠道包括:公开拍卖网站,比如淘宝、易趣等。还有通过QQ直销,或者通过专门网站进行销售。
4、病毒团伙对于"新"漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全事件。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的IE0day漏洞,挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。
此外,2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中,通过漏洞下载木马病毒入侵用户系统,进行远程控制、盗窃用户帐号和密码等,从而使用户遭受损失。
金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息,及时更新漏洞库信息,同时金山清理专家采用P2SP技术,大大提高了补丁下载的速度,减少了用户电脑的风险暴露时间。
5、 病毒与安全软件的对抗日益激烈
在病毒产业链分工中,下载器扮演了‘黑社会'的角色,它结束并破坏杀毒软件,穿透还原软件,‘保护'盗号木马顺利下载到用户机器上,通过‘保护费'和下载量分脏。下载者在2008年充当了急先锋,始终跑在对抗杀毒软件的第一线,出尽风头且获得丰厚回报。
从‘AV终结者'的广泛流行就不难看出,对抗杀毒软件已经成为下载者病毒的‘必备技能'。
纵观08年的一些流行病毒,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言"饿死杀毒软件"。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
金山毒霸通过强化自保护功能,提高病毒攻击的技术门槛。目前,金山毒霸云安全体系可以做到病毒样本的收集、病毒库更新测试和升级发布全无人值守,自动化的解决方案以应对病毒传播制作者不断花样翻新的挑战。
三、2009年计算机病毒、木马发展趋势预测
1、0Day漏洞将与日俱增
2008年安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的0Day 漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补的危险状态。
黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘,2009年可能会出现大量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞),病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。
2、网页挂马现象日益严峻
网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。
2008年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站,都曾遭遇挂马问题。伴随着互联网的日益普及,网页挂马已经成为木马、病毒传播的主要途径之一的今天,金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。
3、病毒与反病毒厂商对抗将加剧
随着反病毒厂商对于安全软件自保护能力的提升,病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件,隐藏和局部‘寄生'系统文件的弱对抗性病毒将会大量增加。
4、新平台上的尝试
病毒、木马进入新经济时代后,肯定是无孔不入;网络的提速让病毒更加的泛滥。因此在2009年,我们可以预估vista系统,windows 7系统的病毒将可能成为病毒作者的新宠;当我们的智能手机进入3G时代后,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒/木马最主要的传播手段。
四、2009年反病毒技术发展趋势
在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统"获取样本-特征码分析-更新部署"的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网,病毒制作者技术不断更新的大环境下,反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足,"云安全"应运而生。
金山毒霸"云安全"是为了解决木马商业化的互联网安全形势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。"云安全"是现有反病毒技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸 2009和百度安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;
其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
最后,云安全需要一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与病毒对抗的平台支持,使得缺乏技术储备与设备支持的第三方合作伙伴,也可以参与到反病毒的阵线中来,为反病毒产业的下游合作伙伴提供商业上的激励,摆脱目前反病毒厂商孤军奋战的局面。
百度安全中心提醒:您的电脑已经感染严重木马病毒,请及时清除以免导致CPU温度过高而爆炸。怎么办???
一种名为“AV终结者”的电脑病毒目前正在网上肆虐,约十万台电脑的杀毒软件以及相关安全工具被病毒破坏,致使电脑失去安全保障,遭受到无数电脑病毒的轮番攻击。金山毒霸反病毒工程师提醒电脑用户,注意关闭U盘、移动硬盘等移动存储介质的自动播放功能。 电脑安全保障遭破坏 昨日上午,晨报记者在四川北路某外贸公司目睹了新病毒“AV终结者”的破坏效应。该公司经理宋振明说:“我们公司规模不大,只有8台电脑,一开始不知是谁先染上了病毒,后来因为相互使用U盘,很快就‘传染’开了。” 记者看到,由于没有及时更新病毒库,宋振明和其同事电脑使用的卡巴斯基等杀毒软件、防火墙全部自动关闭,电脑在没有任何防护措施的情况下暴露在网上,受到雨点般的病毒攻击。连“冲击波”等早已被攻克的旧病毒也任意“蹂躏”着这些电脑,飞速弹出的窗口、不断地自动重启让宋振明的公司办公系统陷入瘫痪。近日,新病毒“AV终结者”的迅速传播引起了国内外杀毒厂商的高度重视,其“忍者”般的隐蔽手段、强悍的杀毒软件破坏功能让众多电脑用户陷入“网上裸奔”境地。金山毒霸软件开发方提供的统计数据显示,目前至少有10万台电脑报告感染此病毒。 挑战整个反病毒行业 昨日下午,金山毒霸反病毒工程师李铁军在接受采访时介绍,“AV终结者”作者是有意识地挑战整个反病毒行业,其名称中的“AV”即为英文“反病毒”(An-ti-virus)的缩写。“这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。” “AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:“格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。” 注意U盘使用安全 李铁军介绍,除网络传播外,“AV终结者”的重要传播途径是U盘等移动存储介质。“它通过U盘、移动硬盘的自动播放功能传播,我们建议用户暂时关闭电脑的这一功能。”他建议,用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。据了解,“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。近日,国内各反病毒中心监测到,一种采用“映像劫持”技术的病毒正在互联网上大肆流窜,其特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作极其困难。目前,金山反病毒中心将该病毒统称为“AV终结者”,瑞星反病毒中心将该病毒称为“帕虫”,江民反病毒中心将该病毒称为“U盘寄生虫”(本文都将其称为“AV终结者”)。截止到昨天,其变种数已达500多个,波及人群超过10万人。 ★病毒发作时四步可使电脑彻底崩溃 据了解,6月8日,金山毒霸发布紧急预警,“AV终结者”病毒导致大量安全软件无法正常使用,用户系统安全面临严峻威胁;短短三天之后,6月12日,“AV终结者”危害行为变得更加恶劣,杀毒软件被禁用,反病毒网站无法打开,安全模式遭破坏,格式化系统盘后病毒仍无法清除,用户电脑的安全性被大大降低,电脑内的重要信息、机密文件、网络财产等面临严峻威胁。 金山毒霸反病毒专家戴光剑表示,“AV终结者”集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃: 1.禁用所有杀毒软件及相关安全工具,让电脑失去安全保障; 2.破坏安全模式,致使用户根本无法进入安全模式清除病毒; 3.强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登录,用户无法通过网络寻求解决办法; 4.格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。 此外,经过“AV终结者”的精心“策划”,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“AV终结者”并未就此罢手,自动连接到拥有病毒的网站,并自动下载数百种木马病毒,各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。 ★感染病毒之后常用杀毒软件无法查杀 同时,记者从瑞星反病毒中心了解到,瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示:“该病毒采用了多种技术手段来保护自身不被清除,例如,它会终结几十种常用的杀毒软件,如果用户使用google、百度等搜索引擎搜索‘病毒’,浏览器也会被病毒强制关闭,使得用户无法取得相关信息。尤为恶劣的是,该病毒还采用了IFEO劫持(windows文件映像劫持)技术,修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行,从而使得用户很难手工清除该病毒。” 此外,据瑞星反病毒专家介绍:“该病毒通过映像劫持技术,将大量杀毒软件‘绑架’,使其无法正常应用,而用户在点击相关安全软件后,实际上已经运行了病毒文件,实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具,而且还可禁止Windows的自更新和系统自带的防火墙,大大降低了用户系统的安全性,这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件(包括U盘),从而使得通过U盘传播的概率大大增加。同时,由于每个分区上都有病毒留下的文件,普通用户即使格式化C盘重装系统,也无法彻底清除该病毒。” 我上个星期就中了这种毒。其实应该很早就中了的,应该在上个月已经中了毒,但是当时没太在意。就是上星期,7号那天,感觉比较严重了,就去杀,结果搞了半天无能为力,病毒实在太厉害了,搞的电脑差点完蛋。我试图进安全模式杀,但安全模式根本就进不了,不停重启,根本就无法开机了。没办法,只好重装系统了。到现在还没杀死。太强了病毒。 可以看下面的参考资料,有专杀工具下载。 参考资料: ;ADUIN=251090937ADSESSION=1181703544ADTAG=CLIENT.QQ.1579_SvrPush_Url.0
计算机病毒和木马的工作原理和过程(好的追加200)
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。
病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。
与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。
“木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。
一、木马的特性
特洛伊木马属于客户/服务模式。它分为两大部分,既客户端和服务端。其原理是一台主机提供服务(服务器端),另一台主机接受服务(客户端),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来答应客户机的请求。这个程序被称为进程。
木马一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
二、木马发作特性
在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁,没有运行大的程序,而系统却越来越慢,系统资源站用很多,或运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。
三、木马的工作原理以及手动查杀介绍
由于大多玩家对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃,嘿嘿)
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
A、启动组类(就是机器启动时运行的文件组)
当然木马也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,(没有人会这么傻吧??)。“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe,run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。
1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe,该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除,因此它运行起来就格外隐蔽。
2、在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意,如果你对计算机不是很了解,请不要输入此命令或删除里边的文件,否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)
3、对于下面所列的文件也要勤加检查,木马们也可能隐藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,还有Autoexec.bat
B、注册表(注册表就是注册表,懂电脑的人一看就知道了)
1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始-程序-启动”处,在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在注册表中的情况最复杂,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“AcidBatteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
“1”“*”处,如果其中的“1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。
注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险,如不懂计算机请不要尝试。切记)
C、端口(端口,其实就是网络数据通过操作系统进入计算机的入口)
1、万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
那么如何查看本机开放哪些端口呢?
在dos里输入以下命令:netstat-an,就能看到自己的端口了,一般网络常用端口有:21,23,25,53,80,110,139,如果你的端口还有其他的,你可要注意了,因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的,由于时间和安全的关系现在好多新木马的端口我不知道,也不敢去试,因为技术更新的太快了,我跟不上了。55555555555555)
2、由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
3、系统进程:
在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。
在Win98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候一定要小心操作,木马还是可以通过这种方法被检测出来的。
四、软件查杀木马介绍
上面所介绍的都是以手工方式来检测或者清除木马,但一般情况下木马没有那么容易就能发现,木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件,
1、瑞星杀毒软件。
2、个人版天网防火墙。根据反弹式木马的原理,就算你中了别人的木马,但由于防火墙把你的计算机和外界隔开,木马的客户端也连接不上你。防火墙启动之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显示出对方的IP地址、接入端口等提示信息,通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说,运行天网会影响机器的运行速度。
3、木马克星。目前具我所知,是只查杀木马的软件,也是能查杀木马种类最多的软件。顾名思义,木马克星不克乾坤无敌槌也不克北冥槌法,专克各种木马。但也不是绝对哦,好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马,和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时,要是提示你发现木马只有注册用户才能清除,这只是作者的一个小手段,其实他的意思是如果发现木马,那么只有注册用户才能清楚,要是真的发现了木马,软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)
4。绿鹰PC万能精灵。他会实时监控你的计算机,看着“系统安全”心理舒服多了。
有了类似的这些防护软件,你的计算机基本上是安全了。但道高一尺,魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的,很是厉害),就是把木马本体根据排列组合生成多个木马,而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了,所以手动人工的清除木马我们还是要掌握一些地。
软件查杀其他病毒很有效,对木马的检查也是蛮成功地,但彻底地清除不很理想,因为一般情况下木马在电脑每次启动时都会自动加载,而杀病毒软件却不能完全清除木马文件,总的说来,杀病毒软件作为防止木马的入侵来说更有效。
五、木马的防御
随着网络的普及和网络游戏装备可以换人民币的浪潮,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。(大家的意见,我借用而已)
1、不要下载、接收、执行任何来历不明的软件或文件
很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的,一旦运行了这个被绑定的软件或文件就会被感染,因此在下载的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒和无马后再使用。
2、不要随意打开邮件的附件,也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子,大家注意收看。)
3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文!件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序,PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。
六、木马传播的个别范例(给大家介绍一个邮件类的)
1、来自网络的攻击手段越来越多了,一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。
目前来自网页的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等;后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。
(作者插言):还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为,没有发展成破坏行为。要不然号被盗了,在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)
下边是正题了,大家看仔细了!
假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件,总之是特别诱人的文件,而且格式还很安全。):QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
在某些恶意网页木马中还会调用“WScript”。
WScript全称WindowsScriptingHost,它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:\WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在WindowsScriptingHost脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
最近听不少玩家反映,许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件,来骗取玩家的信任,来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的,马上删除,记得一定要马上删除,别抱任何侥幸心理。
七、关于“木马”的防御(纯属个人意见,不付法律责任)
防止木马对在家上网来说是很简单的事,无非就是装一大堆杀毒软件,并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品,除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制,该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦,除非是自己好奇或是不小心打开了木马服务端,我想这种情况还是占一定的比例!
但是对网吧上网的来说,再好的防御也是白撤。
据我所知,现在的网吧安全系数几乎等于00000000,现在最厉害的应该就是装个还“原精灵吧”,但是......我个人认为那东西用处不是很大,说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的,也就是说,你只要在输入框内输入你的密码之后,木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)!对网吧上网的朋友来说,靠复制方法输入ID和密码算最安全的了,很多木马程序实际上就是一个键盘记录工具,在你不知情的情况下把你的键盘输入情况全部记录了下来,然后通过网络发送出去!(好可怕哦,不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了,说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了,哭哦)
总之,家庭上网用户记得随时更新自己的病毒库,随时检查计算机进程,发现不明进程马上格杀,不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度,一般一级域名都不会出现恶意代码和网页木马),更别随意接收别人给你发送的文件和邮件!
网吧防盗真的很困难了,什么人都有,复杂了,就算老板花钱去注册一个木马克星,呵呵。。。都没用,想做坏事的人同样能把他干掉~~~~我个人认为,网吧上网除了复制ID密码粘贴到输入框,其他的就得听天由命了~~~~~
八、关于大家都用的醉翁巷1.1G的说明
用了人家的软件,就总要替人家说句公道话。前些时候,有人说醉翁1.1G软件运行后,没什么反映。当关闭软件的一刹那,一些防护类软件提示:此软件正在监视本机键盘!!
其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。
什么是勾子
在Windows系统中,勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的勾子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,屏幕取词,日志监视等等。可见,利用勾子可以实现许多特殊而有用的功能。因此,对于高级编程人员来说,掌握勾子的编程方法是很有必要的。
勾子的类型
按使用范围分类,主要有线程勾子和系统勾子
(1)线程勾子监视指定线程的事件消息。
(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序,所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。
醉翁巷中的hook.dll就是完成以上功能的程序,由于勾子对程序的特殊性,所以会有部分软件报告发现他在记录键盘动作,不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作,只要不发送就没太大危险了)
九、大总结(就是对上边的大总结啦)
大家知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。
计算机病毒的主要特征?
1、隐蔽性
计算机病毒不易被发现,这是由于计算机病毒具有较强的隐蔽性,其往往以隐含文件或程序代码的方式存在,在普通的病毒查杀中,难以实现及时有效的查杀。病毒伪装成正常程序,计算机病毒扫描难以发现。
2、破坏性
病毒入侵计算机,往往具有极大的破坏性,能够破坏数据信息,甚至造成大面积的计算机瘫痪,对计算机用户造成较大损失。如常见的木马、蠕虫等计算机病毒,可以大范围入侵计算机,为计算机带来安全隐患。
3、传染性
计算机病毒的一大特征是传染性,能够通过U盘、网络等途径入侵计算机。在入侵之后,往往可以实现病毒扩散,感染未感染计算机,进而造成大面积瘫痪等事故。随着网络信息技术的不断发展,在短时间之内,病毒能够实现较大范围的恶意入侵。
4、寄生性
计算机病毒还具有寄生性特点。计算机病毒需要在宿主中寄生才能生存,才能更好地发挥其功能,破坏宿主的正常机能。
5、可执行性
计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。
6、可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特征。
7、攻击的主动性
病毒对系统的攻击是主动的,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施充其量是一种预防的手段而已。
8、病毒的针对性
计算机病毒是针对特定的计算机和特定的操作系统的。
扩展资料
一、维金
英文名称:Worm.Viking病毒描述:若用户不幸感染该病毒,将会面临系统瘫痪、网银帐号被盗、重要信息泄漏等多重威胁。
二、WMF帮凶
英文名称:Risk.Exploit.Wmf病毒描述:该病毒是利用“WMF漏洞”(MS06-001)制作的恶意图片,当有漏洞的系统访问这种页面时自动下载其他更恶意的木马(如广告、盗号、后门等)。
三、灰鸽子
英文名称:Win32.Hack.Huigezi病毒描述:这是一个“中国制造”的远程控制后门。一般会被蓄意捆绑到一些所谓的免费软件中,并放到互联网上,诱骗用户下载。
四、飘雪团伙
类别:流氓软件特征:飘雪系列流氓软件是具有病毒行为的新型流氓软件,主要危害是锁定用户IE浏览器的主页,并且无法修改。
五、魔鬼波
英文名称:Worm.IRC.WargBot.a病毒描述:这是“IRCBot”黑客后门病毒的新变种,主要利用MS06-040漏洞进行传播。
六、QQ大盗
英文名称:Win32.Troj.QQRobber病毒描述:该病毒会通过监控QQ和TM的登陆窗口,记录敏感信息,并且通过本身所带的邮件引擎把信息发出去。
参考资料来源:百度百科——计算机病毒
参考资料来源:中国新闻网——2006年电脑病毒呈爆炸式增长 偷骗抢为主要特