什么是特洛伊病毒?
木马程序是目前流行的一种病毒文件。与普通病毒不同,它不会自我复制,也不会“故意”感染其他文件。它通过伪装自己吸引用户下载执行,为特洛伊养马人提供打开种子电脑的入口,让养马人可以随意破坏、窃取种子的文件,甚至远程控制养马人的电脑。特洛伊马与计算机网络中经常使用的远程控制软件有些类似,但因为远程控制软件是善意控制的,所以通常不会隐藏;另一方面,特洛伊马的目的是实现“偷窃”遥控。没有很强的隐蔽性,就是“一文不值”。
是指通过特定程序(木马程序)控制另一台电脑。木马通常有两个可执行程序:一个是客户端,即控制端,一个是服务器端,即受控端。就是植入种子电脑的“服务器”部分,所谓的“黑客”就是利用“控制器”进入运行“服务器”的电脑。运行木马程序的“服务器”后,受害者电脑的一个或几个端口会被打开,黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私将完全没有保障!为了防止特洛伊被发现,特洛伊的设计者们使用了各种手段来隐藏特洛伊。特洛伊服务一旦运行并通过控制终端连接,其控制终端将享有服务器的大部分操作权限,如给电脑添加密码、浏览、移动、复制和删除文件、修改注册表、更改电脑配置等。
随着病毒编写技术的发展,特洛伊木马程序对用户的威胁越来越大,特别是一些特洛伊木马程序采用极其狡猾的手段隐藏自己,普通用户中毒后很难发现。
[编辑本段]木马的类型
1.网络游戏特洛伊马
随着网络游戏的普及和升温,中国拥有大量的网络游戏玩家。金钱、装备等虚拟财富与网络游戏中真实财富的界限越来越模糊。与此同时,以盗取网络游戏账号密码为目的的特洛伊病毒也随之发展和泛滥。
网络游戏木马通常通过记录用户的键盘输入和钩子游戏进程API函数来获取用户的密码和账号。窃取的信息通常通过发送电子邮件或提交给远程脚本程序的方式发送给特洛伊作者。
网络游戏木马的种类和数量在国内特洛伊病毒中首屈一指。流行的网络游戏都受到网络木马的威胁。新游戏正式发布后,一到两周内就会产生相应的木马程序。大量特洛伊木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2.网上银行特洛伊马
网银特洛伊是为网上交易系统编写的特洛伊病毒,其目的是窃取用户的卡号、密码甚至安全证书。虽然这类木马的数量比不上网游,但其危害更直接,受害者的损失也更重。
网银木马通常是有针对性的。特洛伊的作者可能会先仔细分析一家银行的网上交易系统,然后针对薄弱的安全环节编写病毒程序。比如2004年的“网络大盗”病毒,当用户进入工行网银登录页面时,会自动将页面换成安全性能差但仍能工作的旧页面,然后在该页面记录用户填写的卡号和密码;《网络大盗3》可以利用招商银行网银专业版的备份安全证书功能窃取安全证书;2005年,“新网银大盗”利用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到国外网银木马威胁的用户数量也在不断增加。
3.即时通讯软件特洛伊马
现在,国内即时通讯软件百花齐放。QQ,万能通讯,网易泡泡,盛大圈子...网聊的用户非常庞大。常见的即时通讯木马有三种:
一、发送消息类型。包含恶意网址的消息是通过即时通讯软件自动发送的,目的是让收到消息的用户点击网站中毒。用户中毒后,会向更多好友发送病毒短信。这类病毒的常用技术是搜索聊天窗口,然后控制窗口自动发送文字内容。消息发送木马经常充当网络游戏木马的广告,如“武汉男孩2005”木马,可以通过MSN、QQ、UC等聊天软件发送毒网站,主要功能是盗取传奇游戏的账号和密码。
b、黑客型。主要目标是即时通讯软件的登录账号和密码。工作原理和网游木马差不多。病毒作者盗取他人账号后,可能会偷窥聊天记录等私密内容,或者出售账号。
c,传播自己的类型。2005年初,在“MSN性感鸡”等蠕虫病毒通过MSN泛滥一时后,MSN推出了新版本,禁止用户传输可执行文件。2005年上半年,国内两种病毒“QQ龟”和“QQ爱虫”通过QQ聊天软件进行自我传播,感染用户数量特别巨大,在2005年上半年姜敏公司十大病毒排行榜中位列第一和第四。从技术角度来说,发送文件的QQ蠕虫是以前发送消息的QQ特洛伊的进化。采用的基本技术是搜索后控制聊天窗口,达到发送文件或消息的目的。只是发文件比发消息复杂多了。
4.点击网页上的木马
网页点击木马会恶意模拟用户点击广告等动作,短时间内可产生数万次点击。病毒写手的目的一般是赚取高额的广告推广费用。这种病毒的技术很简单,一般只是向服务器发送一个HTTP GET请求。
5.下载木马
这种木马程序一般体积较小,功能是从网络下载其他病毒程序或安装广告软件。因为体积小,下载的木马更容易传播,传播速度也更快。通常后一类强大而笨重的病毒,如“灰鸽子”、“黑洞”等,都是通过编写一个小的下载特洛伊马进行传播,用户中毒后会将后一门的主程序下载到本机运行。
6.特洛伊特工
用户感染代理木马后,会打开HTTP、SOCKS等代理服务。黑客利用被感染的电脑作为跳板,以被感染用户的身份实施黑客活动,从而隐藏自己。
先找到被感染的文件,手动的方法是结束相关进程然后删除文件,但是现在有很多专门查杀木马的软件,借助软件就可以删除。
特洛伊马和病毒都是人工程序和计算机病毒。为什么要单独提到特洛伊马?众所周知,计算机病毒在过去的作用实际上是破坏和摧毁计算机中的数据。除了破坏,其他的无非是一些病毒制造者为了达到某些目的,或者炫耀自己的技术而进行的威慑和勒索。与特洛伊马不同,特洛伊马被用来赤裸裸地窥探他人,窃取他人的密码和数据,如窃取管理员密码-子网密码进行破坏。或者为了好玩,盗用互联网密码做其他用途,比如游戏账号,股票账号,甚至网上银行账号等。,达到窥视他人隐私,获取经济利益的目的。所以木马的作用比早期的电脑病毒更有用,可以直接达到用户的目的!于是,很多别有用心的程序开发者编写了大量带有窃取和监控他人电脑的入侵程序,这也是目前大量木马充斥互联网的原因。鉴于木马的这些巨大危害,以及其与早期病毒的不同功能,木马属于病毒的一个范畴,但要与病毒类型分开单独处理。它们被独立称为“木马”程序。
一般来说,一个杀毒软件程序,如果它的特洛伊查杀程序可以查杀某一个特洛伊马,那么它自己的普通杀毒程序也一定可以查杀这个特洛伊马,因为在木马泛滥的今天,专门为木马设计一个特洛伊查杀工具,可以提高这个杀毒软件的产品档次,对它的声誉大有裨益。其实常见的杀毒软件都含有查杀木马的功能。如果人们说某个杀毒软件没有查杀木马的程序,那么这个杀毒软件厂商就显得有点心虚了,尽管它常见的杀毒软件当然有查杀木马的功能。
还有一点,将木马查杀程序单独分离,可以提高查杀效率。目前很多杀毒软件中的木马查杀程序都是只查杀木马,不检查常用病毒库中的病毒代码,也就是说,用户运行木马查杀程序时,程序只调用木马代码库中的数据,大大提高了木马的查杀速度。我们知道常见病毒的查杀速度是比较慢的。因为现在病毒太多了。每个文件都要经过成千上万个特洛伊马代码的测试,再加上近65438+万个已知病毒代码的测试,那不是很慢吗?是否通过省略普通病毒代码的测试来提高效率和速度?也就是说,很多杀毒软件自带的特洛伊查杀程序只查杀木马,一般不查杀病毒,而自己自带的普通病毒查杀程序,既杀病毒又杀木马!
特洛伊病毒的危害:
1,盗取我们的网游账号,威胁我们虚拟财产的安全。
特洛伊病毒会窃取我们的网络游戏账号。它盗取我们的账号后,会立即转移账号内的游戏装备,然后特洛伊病毒用户会将这些盗取的游戏装备和游戏币出售,从中获利。
2.窃取我们的网银信息,威胁我们的不动产安全。
木马通过键盘录音的方式盗取我们的网银账号和密码发送给黑客,直接导致我们的经济损失。
3.使用即时通讯软件窃取我们的身份并传播特洛伊病毒。
感染这种特洛伊病毒后,可能会造成我们的经济损失。特洛伊木马被击中后,电脑会下载病毒作者指定的程序,危害不确定。比如恶作剧。
4.为我们的电脑打开后门,这样我们的电脑就有可能被黑客控制。
比如灰鸽子特洛伊马。当我们赢得了这种特洛伊马,我们的电脑可能会成为肉鸡,成为黑客手中的工具。
[编辑本段]如何防御特洛伊病毒?
特洛伊木马查杀(查杀软件很多,有些病毒软件可以查杀木马)。
防火墙(硬件和软件)在家里用软件就好。
如果是公司或者其他地方,硬件和软件一起用。
基本上可以防御大部分木马,但是现在的软件也不是万能的吧?你也应该学习一些专业知识。有了这个,你的电脑就安全多了。
现在有很多专家,只要不随便访问来历不明的网站,不使用来历不明的软件(很多盗版或者破解的软件都带木马,这个要靠你自己的经验去分辨),如果都做了,木马和病毒。进入你的电脑不容易。
[编辑此段]如何找出特洛伊马的一些方法
在使用目前常见的特洛伊查杀软件和查杀软件的同时,系统自带的一些基本命令也可以发现特洛伊病毒:
首先,检测网络连接
如果您怀疑其他人在您的计算机上安装了特洛伊木马或感染了病毒,但您没有一个完美的工具来检测这种事情是否真的发生过,您可以使用Windows附带的网络命令来查看谁在连接您的计算机。
具体的命令格式是:netstat -an这个命令可以看到所有连接到本地计算机的IP,它包含四个部分——proto(连接模式)、本地地址(本地连接地址)、外地地址(本地连接地址)和state(当前端口状态)。通过这个命令的详细信息,我们可以完全监控电脑上的连接,从而达到控制电脑的目的。
第二,禁用未知服务
很多朋友会发现某天系统重启后电脑速度变慢,无论怎么优化,用杀毒软件也查不出问题。这时候很可能是别人入侵你的电脑后给你开通了一个特殊的服务,比如IIS信息服务,让你的杀毒软件找不到了。不过不用担心,我们可以使用“net start”来查看系统中开放了哪些服务。如果发现不是自己开放的服务,可以有针对性的禁用这个服务。
方法是直接进入“net start”查看服务,然后使用“net stop server”禁用服务。
第三,轻松查账
长期以来,恶意攻击者喜欢使用克隆帐户的方法来控制您的计算机。他们采取的方法是在一个系统中激活默认账号,但是这个账号并不经常使用,然后使用工具将这个账号升级为管理员权限。表面上看这个账号还是和原来的一样,但是这个克隆的账号才是系统中最大的安全隐患。恶意攻击者可以通过此帐户随意控制您的计算机。
为了避免这种情况,您可以使用一个非常简单的方法来检测帐户。
首先在命令行输入net user,看看电脑上有哪些用户,然后用“net user用户名”看看这个用户属于什么权限。一般除了管理员属于administrators组,其他什么都没有!如果你发现一个系统内置的用户属于administrators组,那么几乎可以肯定你被黑客攻击了,别人在你的电脑上克隆了一个账号。使用“网络用户名/del”删除该用户!
处于联网状态的客户端。对于未连接到互联网的客户端,一旦它们连接到互联网,它们也将接收更新信息以将病毒特征数据库更新到最新版本。既省去了用户手动更新的繁琐过程,也让用户的电脑时刻处于最佳的防护环境中。
[编辑本段]如何删除特洛伊病毒?
1,禁用系统还原(Windows Me/XP)
如果您运行的是Windows Me或Windows XP,建议您暂时关闭系统还原。默认情况下,此功能是启用的,一旦计算机中的文件损坏,Windows可以使用此功能来还原它们。如果病毒、蠕虫或特洛伊病毒感染了计算机,系统恢复功能会备份计算机上的病毒、蠕虫或特洛伊病毒。
Windows禁止外部程序(包括防病毒程序)修改系统还原。因此,防病毒程序或工具无法删除系统还原文件夹中的威胁。这样,即使您已经清除了所有其他位置的受感染文件,“系统还原”也可以将受感染文件还原到您的计算机上。
此外,病毒扫描还可能在系统还原文件夹中检测到威胁,即使您已经删除了该威胁。
注意:删除蠕虫后,请按照上述文章中的描述恢复系统恢复设置。
2.将计算机重新启动至安全模式或VGA模式。
关闭计算机,等待至少30秒,然后重新启动至安全模式或VGA模式。
Windows 95/98/Me/2000/XP用户:将计算机重新启动到安全模式。除Windows NT之外,所有Windows 32位操作系统都可以重新启动到安全模式。有关更多信息,请参考文档如何在安全模式下启动计算机。
Windows NT 4用户:将计算机重新启动到VGA模式。
扫描并删除受感染的文件启动防病毒程序,并确保将其配置为扫描所有文件。运行全系统扫描。如果检测到任何文件因下载而被感染。特洛伊,点击删除。如有必要,清除Internet Explorer历史记录和文件。如果在Temporary Internet Files文件夹的压缩文件中检测到该程序,请执行以下步骤:
启动Internet Explorer。单击工具>互联网选项。单击常规选项卡的Internet临时文件部分,单击删除文件,然后在出现提示时单击确定。在“历史记录”部分,单击“清除历史记录”,然后在出现提示时单击“是”。
3.关于病毒的危害,下载。特洛伊将采取以下措施:
去一个特定的网站或其作者创建的FTP站点,并尝试下载一个新的特洛伊木马,病毒,蠕虫或其组件。
下载完成后,木马程序就会执行它们。
如果获得特洛伊后无法打开杀毒软件,可以先用360安全卫士安全启动修复。
[编辑本段]特洛伊病毒最喜欢的几个藏身之处。
特洛伊木马是一种基于远程控制的病毒程序,具有很强的隐蔽性和危害性。它可以在无人知晓的情况下控制你或监视你。以下是特洛伊马的阴险伎俩。看完之后,别忘了采取招数来应对这些招数。
1,集成到程序中
事实上,特洛伊马也是一个服务器-客户端程序。为了防止用户轻易删除,往往会集成到程序中。一旦用户激活木马程序,特洛伊木马文件会捆绑一个应用程序,然后上传到服务器覆盖原有文件,这样即使删除了特洛伊木马,只要运行捆绑特洛伊木马的应用程序,就会重新安装特洛伊木马。绑定到一个应用程序,比如绑定到一个系统文件,会在每次Windows启动时启动一个特洛伊木马。
2、隐藏在配置文件中
特洛伊马太狡猾了,要知道新手一般都是用图形界面的操作系统,大部分不是很重要的配置文件都被忽略了,这正好给特洛伊马提供了藏身之地。而且,利用配置文件的特殊功能,特洛伊可以很容易地在每个人的电脑中运行和攻击,从而窥视或监视每个人。不过这种方法并不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载特洛伊木马程序的情况比较少见,但也不可掉以轻心。
3、潜伏在Win.ini中
特洛伊马要想控制或监控电脑就必须跑,但没人会傻到在自己的电脑里跑这该死的特洛伊马。当然,特洛伊马早就有心理准备,知道人类是高智商动物,不会帮它干活。所以它必须找到一个安全的,系统启动时能自动运行的地方,所以潜伏在Win.ini是特洛伊马感觉更舒服的地方。你不妨打开Win.ini看看。在其[windows]字段中,有启动命令“load=”和“run=”,一般在“=”后为空白。如果有一个程序跟着,比如看起来是这样的:run = c: windowsfile。windowsfile.exe。那你要小心了,这file.exe很可能是特洛伊马。
4、伪装在普通档案中
这种方法出现的比较晚,但是现在很流行,很容易被不熟练的windows操作人员忽悠。具体方法是将可执行文件伪装成图片或文本——在程序中将图标改为Windows默认的图片图标,然后将文件名改为*.jpg.exe,由于Win98的默认设置是“不显示已知文件后缀”,所以文件会显示为*。jpg,而不注意的人点击这个图标就会被特洛伊马打中(如果在程序中嵌入图片就更完美了)。`
5、内置注册表
上面的方法让特洛伊真的舒服了一阵子,没人能发现,还能自动运行。真的很快!然而好景不长,人类很快就抓住了它的踪迹,并对它进行了严厉的惩罚!但是,还是不甘心。在总结了失败的教训后,它认为上面的藏身之处很容易被发现,现在它必须藏在一个不容易被发现的地方,于是它想到了注册表!的确,由于注册表的复杂性,木马往往喜欢高高兴兴地躲在这里。请快点检查一下。它下面有什么节目?睁大眼睛,仔细看。不要放过特洛伊人:
HKEY _ local _ machinesoftwaremicrosoftwindowscurentversion下所有以“run”开头的键值;HKEY _当前_用户软件Microsoft Windows当前版本下所有以“运行”开头的键值;HKEY用户下所有以“运行”开头的关键值。默认软件Microsoft Windows当前版本。
6.在System.ini中隐藏
特洛伊马到处都是!哪里有漏洞,它就去哪里!不会,Windows安装目录下的System.ini也是木马喜欢隐藏的地方。小心,打开这个文件,看看它和正常文件有什么不同。这个文件的[boot]字段有没有这样的内容,就是shell = explorer。Exe?如果有这样的内容,你就要倒霉了,因为这里的file.exe是特洛伊服务器程序!另外,在System.ini中的[386Enh]字段中,要注意这一节中的“driver= path程序名”,也有可能被木马利用。再者,在System.ini中的[mic]、[drivers]和[drivers32]三个字段中,这些字段也起到了加载驱动的作用,但也是添加特洛伊马的好地方。现在你应该知道并注意这一点。
7、在创业群体中隐形
有时候特洛伊并不关心自己的行踪,而是更关注是否能自动加载到系统中,因为一旦特洛伊加载到系统中,你用任何方法都赶不走它(唉,这个特洛伊真是厚脸皮),所以按照这个逻辑,启动组也是特洛伊藏身的好地方,因为这里确实是自动加载运行的好地方。启动组对应的文件夹是:
c:windows startmenuprogramstartup
注册表中的位置:
HKEY _当前_用户软件微软Windows当前版本xplorershellfoldersstartup = " C:windows startmenuprogramstartup "
注意经常查看启动组。
8、隐藏在Winstart.bat中
根据上述逻辑理论,木马喜欢待在有利于木马自动加载的地方。不是,Winstart.bat也是一个可以被Windows自动加载运行的文件。大多数情况下,winstart.bat是由应用程序和Windows自动生成的,在Win.com执行完毕并加载大部分驱动程序后开始执行(这可以通过启动时按下F8键,然后选择一步一步跟踪启动过程的启动模式来了解)。因为Autoexec.bat的功能可以被Winstart.bat替代,所以特洛伊可以像在Autoexec.bat中一样加载运行,危险就来源于此。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制终端利用这些文件可以启动程序的特性,将与特洛伊启动命令同名的文件上传到服务器,以覆盖同名文件,从而达到启动特洛伊的目的。
10,设置在超链接中
特洛伊马的主人在网页上放恶意代码引诱用户点击,用户点击的结果不言而喻:开门抢劫!不要点击网页上的链接,除非你知道并信任它。