电脑上的木马程序有哪些软件_电脑上的木马程序有哪些

hacker|
220

历史上最厉害的木马病毒有哪些

一、 *** 公牛。 *** 公牛又名Netbull,是国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽,危害很大。同时,服务端运行后会自动捆绑以下文件: win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe。 winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe;winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件(如:realplay.exe、 *** 、ICQ等)。在注册表中 *** 公牛也悄悄地扎下了根,如下: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来, *** 公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。 清除 *** : 1、删除 *** 公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把 *** 公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。 3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始-附件-系统工具-系统信息-工具-系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、 *** 、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。 二、 *** 神偷(Nethief) *** 神偷又名Nethief,是之一个反弹端口型木马! 什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧, 嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马, *** 神偷已经开始流行!中木马者也日益增多,大家要小心哦! 清除 *** : 1、 *** 神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK,神偷完蛋了! 三、WAY2.4(火凤凰、无赖小子) WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们的威胁就更大了。从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来,WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\system\msgsvc.exe赫然在列! 清除 *** : 要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了! 注意:在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载,sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 清除 *** : 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生” *** 小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。 清除 *** : 1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它。 2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。 3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices,删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极? 哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢! Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易! 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易! 清除 *** : 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除键值“MainBroad BackManager”,其值为C:\WINDOWS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软! 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1,因此要恢复成原值:C:\WINDOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。 好了,可以和聪明基因说“再见”了! 七、黑洞2001 黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。 黑洞2001服务端被执行后,会在C:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件在机器开机时立刻运行,并打开默认端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入! 清除 *** : 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy( *** 精灵) Netspy又名 *** 精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。 清除 *** : 1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe 回车! 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\,删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。 清除 *** : 1、打开注册表Regedit,点击至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器="C:\windows\system\***"。注:加载器和文件名是随意改变的。 2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。 3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。 4、重新启动Windows,删除相对应的木马程序,一般在C:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。

电脑中了电脑病毒木马解决 *** 介绍

电脑中了电脑病毒木马怎么办!不要急,下面由我给你做出详细的电脑中了电脑病毒木马解决 *** 介绍!希望对你有帮助!

电脑中了电脑病毒木马解决 *** 介绍:

木马的危害之大想必大家也非常清除, "木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。

在任务管理器中隐形:将程序设为"系统服务"可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击"木马"图标来运行服务端,,"木马"会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,"木马"都会用上,如:启动组、win.ini、system.ini、注册表等等都是"木马"藏身的好地方。下面具体谈谈"木马"是怎样自动加载的。

电脑木马躲藏路径:

在win.ini文件中,在[WINDOWS]下面,"run="和"load="是可能加载"木马"程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上"木马"了。当然你也得看清楚,因为好多"木马",如"AOLTrojan木马",它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个"shell=文件名"。正确的文件名应该是"explorer.exe",如果不是"explorer.exe",而是"shell=explorer.exe程序名",那么后面跟着的那个程序就是"木马"程序,就是说你已经中"木马"了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:"HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的"木马"程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如"AcidBatteryv1.0木马",它将注册表"HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"下的Explorer键值改为Explorer="C:\WINDOWS\expiorer.exe","木马"程序与真正的Explorer之间只有"I"与"l"的差别。

当然在注册表中还有很多地方都可以隐藏"木马"程序,如:"HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run"、"HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run"的目录下都有可能,更好的办法就是在"HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"下找到"木马"程序的文件名,再在整个注册表中搜索即可。

木马是什么

木马程序(Trojan horse program)通常称为木马,恶意代码等,是指潜伏在电脑中,可受外部用户控制以窃取本机信息或者控制权的程序。木马指的是特洛伊木马,英文叫做“Trojan horse”,其名称取自希腊神话的特洛伊木马记。

木马程序带来很多危害,例如占用系统资源,降低电脑效能,危害本机信息安全(盗取 *** 帐号、游戏帐号甚至银行帐号),将本机作为工具来攻击其他设备等。

中文名:木马程序

外文名:Trojan horse program

别名:木马程序

简称:木马

属性:电脑病毒

性质:恶意代码之类

分享

简介

“木马”程序是比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。

什么是木马程序?木马程序是什么软件?分别软件是什么?或有什么?

木马通俗的说就是一些你不想安装的程序,通过一些软件或者其它途径不经意间装到你的电脑上,然后不经过你直接自己运行或者特定时间运行,获取你电脑的特定信息,比如 *** 帐号和密码,一些其它有用的个人信息,通过 *** 传递到设定好的位置,一般对电脑本身影响不大,但是会丢失个人信息。

现在360, *** 管家,金山的软件都可以分别出大部分的木马,电脑装上一款就够用了

电脑中木马了,好用的木马查杀软件有哪些?

腾讯电脑管家可以试试:

1、腾讯电脑管家独有的二代反病毒引擎,防护查杀更彻底

2、腾讯电脑管家拥有全球更大的云库平台,能更好的识别诈骗、钓鱼网站

3、腾讯电脑管家独创鹰眼模式,时刻保护您的爱机不受侵害

4、腾讯电脑管家独有的安全等级,您可以时刻查看你爱机的安全状态

5、新增广告过滤功能,有效减轻广告骚扰。

0条大神的评论

发表评论