木馬電腦病毒介紹
“木馬”程式是目前比較流行的病毒檔案,與一般的病毒不同,它不會自我繁殖,也並不“刻意”地去感染其他檔案,下面由小編給你做出詳細的!希望對你有幫助!歡迎回訪網站,謝謝!
:
它通過將自身偽裝吸引使用者下載執行,向施種木馬者提供開啟被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的檔案,甚至遠端操控被種者的電腦。“木馬”與計算機網路中常常要用到的遠端控制軟體有些相似,但由於遠端控制軟體是“善意”的控制,因此通常不具有隱蔽性;“木馬”則完全相反,木馬要達到的是“偷竊”性的遠端控制,如果沒有很強的隱蔽性的話,那就是“毫無價值”的。
一個完整的“木馬”程式包含了兩部分:“伺服器”和“控制器”。植入被種者電腦的是“伺服器”部分,而所謂的“黑客”正是利用“控制器”進入運行了“伺服器”的電腦。運行了木馬程式的“伺服器”以後,被種者的電腦就會有一個或幾個埠被開啟,使黑客可以利用這些開啟的埠進入電腦系統,安全和個人隱私也就全無保障了!
病毒是附著於程式或檔案中的一段計算機程式碼,它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟體、硬體和檔案。
病毒 ***n.***:以自我複製為明確目的編寫的程式碼。病毒附著於宿主程式,然後試圖在計算機之間傳播。它可能損壞硬體、軟體和資訊。
與人體病毒按嚴重性分類***從 Ebola 病毒到普通的流感病毒***一樣,計算機病毒也有輕重之分,輕者僅產生一些干擾,重者徹底摧毀裝置。令人欣慰的是,在沒有人員操作的情況下,真正的病毒不會傳播。必須通過某個人共享檔案和傳送***來將它一起移動。
“木馬”全稱是“特洛伊木馬***TrojanHorse***”,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,“特洛伊木馬”指一些程式設計人員***或居心不良的馬伕***在其可從網路上下載***Download***的應用程式或遊戲外掛、或網頁中,包含了可以控制使用者的計算機系統或通過郵件盜取使用者資訊的惡意程式,可能造成使用者的系統被破壞、資訊丟失甚至令系統癱瘓。
一、木馬的特性
特洛伊木馬屬於客戶/服務模式。它分為兩大部分,既客戶端和服務端。其原理是一臺主機提供服務***伺服器端***,另一臺主機接受服務***客戶端***,作為伺服器的主機一般會開啟一個預設的埠進行監聽。如果有客戶機向伺服器的這一埠提出連線請求,伺服器上的相應程式就會自動執行,來答應客戶機的請求。這個程式被稱為程序。
木馬一般以尋找後門、竊取密碼為主。統計表明,現在木馬在病毒中所佔的比例已經超過了四分之一,而在近年湧起的病毒潮中,木馬類病毒佔絕對優勢,並將在未來的若干年內愈演愈烈。木馬是一類特殊的病毒,如果不小心把它當成一個軟體來使用,該木馬就會被“種”到電腦上,以後上網時,電腦控制權就完全交給了“黑客”,他便能通過跟蹤擊鍵輸入等方式,竊取密碼、信用卡號碼等機密資料,而且還可以對電腦進行跟蹤監視、控制、檢視、修改資料等操作。
二、木馬發作特性
在使用計算機的過程中如果您發現:計算機反應速度發生了明顯變化,硬碟在不停地讀寫,滑鼠不聽使喚,鍵盤無效,自己的一些視窗在被關閉,新的視窗被莫名其妙地開啟,網路傳輸指示燈一直在閃爍,沒有執行大的程式,而系統卻越來越慢,系統資源站用很多,或運行了某個程式沒有反映***此類程式一般不大,從十幾k到幾百k都有***或在關閉某個程式時防火牆探測到有郵件發出……這些不正常現象表明:您的計算機中了木馬病毒。
三、木馬的工作原理以及手動查殺介紹
由於大多玩家對安全問題了解不多,所以並不知道自己的計算機中了“木馬”該怎麼樣清除。因此最關鍵的還是要知道“木馬”的工作原理,這樣就會很容易發現“木馬”。相信你這篇文章之後,就會成為一名查殺“木馬”的高手了。***如果成不了高手建議大家用皮筋打斑竹家玻璃,嘿嘿***
“木馬”程式會想盡一切辦法隱藏自己,主要途徑有:在工作列中隱藏自己,這是最基本的只要把Form的Visible屬性設為False。ShowInTaskBar設為False,程式執行時就不會出現在工作列中了。在工作管理員中隱形:將程式設為“系統服務”可以很輕鬆地偽裝自己。
A、啟動組類***就是機器啟動時執行的檔案組***
當然木馬也會悄無聲息地啟動,你當然不會指望使用者每次啟動後點擊“木馬”圖示來執行服務端,***沒有人會這麼傻吧??***。“木馬”會在每次使用者啟動時自動裝載服務端,Windows系統啟動時自動載入應用程式的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、登錄檔等等都是“木馬”藏身的好地方。通過win.ini和system.ini來載入木馬。在Windows系統中,win.ini和system.ini這兩個系統配置檔案都存放在C:windows目錄下,你可以直接用記事本開啟。可以通過修改win.ini檔案中windows節的“load=file.exe,run=file.exe”語句來達到木馬自動載入的目的。此外在system.ini中的boot節,正常的情況下是“Shell=Explorer.exe”***Windows系統的圖形介面命令直譯器***。下面具體談談“木馬”是怎樣自動載入的。
1、在win.ini檔案中,在[WINDOWS]下面,“run=”和“load=”是可能載入“木馬”程式的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔名不是你熟悉的啟動檔案,你的計算機就可能中上“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOLTrojan木馬”,它把自身偽裝成command.exe檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。
通過c:windowswininit.ini檔案。很多木馬程式在這裡做一些小動作,這種方法往往是在檔案的安裝過程中被使用,程式安裝完成之後檔案就立即執行,與此同時安裝的原檔案被Windows刪除乾淨,因此隱蔽性非常強,例如在wininit.ini中如果Rename節有如下內容:NUL=c:windowspicture.exe,該語句將c:windowspicture.exe發往NUL,這就意味著原來的檔案pictrue.exe已經被刪除,因此它執行起來就格外隱蔽。
2、在system.ini檔案中,在[BOOT]下面有個“shell=檔名”。正確的檔名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程式名”,那麼後面跟著的那個程式就是“木馬”程式,就是說你已經中“木馬”了。
win.ini、system.ini檔案可以通過“開始”選單裡的“執行”來檢視。只要在“執行”對話方塊中輸入“msconfig”,後點擊“確定”按鈕就行了。***這裡大家一定要注意,如果你對計算機不是很瞭解,請不要輸入此命令或刪除裡邊的檔案,否則一切後果和損失自己負責。斑竹和本人不承擔任何責任。***
3、對於下面所列的檔案也要勤加檢查,木馬們也可能隱藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,還有Autoexec.bat
B、登錄檔***登錄檔就是登錄檔,懂電腦的人一看就知道了***
1、從選單中載入。如果自動載入的檔案是直接通過在Windows選單上自定義新增的,一般都會放在主選單的“開始->程式->啟動”處,在Win98資源管理器裡的位置是“C:windowsstartmenuprograms啟動”處。通過這種方式使檔案自動載入時,一般都會將其存放在登錄檔中下述4個位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在登錄檔中的情況最複雜,在點選至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的“木馬”程式生成的檔案很像系統自身檔案,想通過偽裝矇混過關,如“AcidBatteryv1.0木馬”,它將登錄檔“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程式與真正的Explorer之間只有“i”與“l”的差別。當然在登錄檔中還有很多地方都可以隱藏“木馬”程式,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程式的檔名,再在整個登錄檔中搜索即可。
此外在登錄檔中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
“1”“*”處,如果其中的“1”被修改為木馬,那麼每次啟動一個該可執行檔案時木馬就會啟動一次,例如著名的冰河木馬就是將TXT檔案的Notepad.exe改成!了它自己的啟動檔案,每次開啟記事本時就會自動啟動冰河木馬,做得非常隱蔽。
登錄檔可以通過在“執行”對話方塊中輸入“regedit”來檢視。需要說明的是,對系統登錄檔進行刪除修改操作前一定要將登錄檔備份,因為對登錄檔操作有一定的危險性,加上木馬的隱藏較隱蔽,可能會有一些誤操作,如果發現錯誤,可以將備份的登錄檔檔案匯入到系統中進行恢復。***次命令同樣很危險,如不懂計算機請不要嘗試。切記***
萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動。所以平常多注意你的埠。一般的木馬預設埠有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
在dos裡輸入以下命令:netstat-an,就能看到自己的埠了,一般網路常用埠有:21,23,25,53,80,110,139,如果你的埠還有其他的,你可要注意了,因為現在有許多木馬可以自己設定埠。***上面這些木馬的埠是以前的,由於時間和安全的關係現在好多新木馬的埠我不知道,也不敢去試,因為技術更新的太快了,我跟不上了。55555555555555***
由於木馬的執行常通過網路的連線來實現的,因此如果發現可疑的網路連線就可以推測木馬的存在,最簡單的辦法是利用Windows自帶的Netstat命令來檢視。一般情況下,如果沒有進行任何上網操作,在MS-DOS視窗中用Netstat命令將看不到什麼資訊,此時可以使用“netstat-a”,“-a”選項用以顯示計算機中目前所有處於監聽狀態的埠。如果出現不明埠處於監聽狀態,而目前又沒有進行任何網路服務的操作,那麼在監聽該埠的很可能是木馬。
在Win2000/XP中按下“CTL+ALT+DEL”,進入工作管理員,就可看到系統正在執行的全部程序,一一清查即可發現木馬的活動程序。
在Win98下,查詢程序的方法不那麼方便,但有一些查詢程序的工具可供使用。通過檢視系統程序這種方法來檢測木馬非常簡便易行,但是對系統必須熟悉,因為Windows系統在執行時本身就有一些我們不是很熟悉的程序在執行著,因此這個時候一定要小心操作,木馬還是可以通過這種方法被檢測出來
很多木馬病毒都是通過繫結在其他的軟體或檔案中來實現傳播的,一旦運行了這個被繫結的軟體或檔案就會被感染,因此在下載的時候需要特別注意,一般推薦去一些信譽比較高的站點。在軟體安裝之前一定要用反病毒軟體檢查一下
1、來自網路的攻擊手段越來越多了,一些帶木馬的惡意網頁會利用軟體或系統操作平臺等的安全漏洞,通過執行嵌入在網頁HTML超文字標記語言內的JavaApplet小應用程式、javascript指令碼語言程式、ActiveX軟體部件互動技術支援可自動執行的程式碼程式,強行修改使用者作業系統的登錄檔及系統實用配置程式,從而達到非法控制系統資源、破壞資料、格式化硬碟、感染木馬程式、盜取使用者資料資料等目的。
目前來自網頁的攻擊分為兩種:一種是通過編輯的指令碼程式修改IE瀏覽器;另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、預設主頁或直接將木馬“種”在你的機器裡等等;後者是直接鎖定你的鍵盤、滑鼠等輸入裝置然後對系統進行破壞。
***作者插言***:還好目前盜取千年使用者名稱和密碼的“木馬”功能還僅僅是偷盜行為,沒有發展成破壞行為。要不然號被盜了,在順便把硬碟被格式化了。那樣想第一時間找回密碼就都沒可能。希望這種情況不要發生。***啊門我彌佗佛***
下邊是正題了,大家看仔細了!
假如您收到的郵件附件中有一個看起來是這樣的檔案***或者貌似這類檔案,總之是特別誘人的檔案,而且格式還很安全。***:QQ靚號放送.txt,您是不是認為它肯定是純文字檔案?我要告訴您,不一定!它的實際檔名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在登錄檔裡是HTML檔案關聯的意思。但是存成檔名的時候它並不會顯現出來,您看到的就是個.txt檔案,這個檔案實際上等同於QQ靚號放送.txt.html。那麼直接開啟這個檔案為什麼有危險呢?請看如果這個檔案的內容如下:
您可能以為它會呼叫記事本來執行,可是如果您雙擊它,結果它卻呼叫了HTML來執行,並且自動在後臺開始通過網頁載入木馬檔案。同時顯示“正在開啟檔案”之類的這樣一個對話方塊來欺騙您。您看隨意開啟附件中的.txt的危險夠大了吧?
欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由於真正副檔名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html檔案,於是就會以html檔案的形式執行,這是它能執行起來的先決條件。
在某些惡意網頁木馬中還會呼叫“WScript”。
WScript全稱WindowsScriptingHost,它是Win98新加進的功能,是一種批次語言/自動執行工具——它所對應的程式“WScript.exe”是一個指令碼語言直譯器,位於c:\WINDOWS下,正是它使得指令碼可以被執行,就象執行批處理一樣。在WindowsScriptingHost指令碼環境裡,預定義了一些物件,通過它自帶的幾個內建物件,可以實現獲取環境變數、建立快捷方式、載入程式、讀寫登錄檔等功能。
在Windows系統中,勾子***hook***是一種特殊的訊息處理機制。勾子可以監視系統或程序中的各種事件訊息,截獲發往目標視窗的訊息並進行處理。這樣,我們就可以在系統中安裝自定義的勾子,監視系統中特定事件的發生,完成特定的功能,比如截獲鍵盤、滑鼠的輸入,螢幕取詞,日誌監視等等。可見,利用勾子可以實現許多特殊而有用的功能。因此,對於高階程式設計人員來說,掌握勾子的程式設計方法是很有必要的。
大家知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發現有“木馬”存在,最安全也是最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後在根據實際情況進行處理。
”人還: