对于木马病毒不正确认识(木马不是病毒对还是错)
关于木马病毒的说法
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
木马的原理
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
木马的特征
特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的,运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在Windows加载时自动运行,或立刻自动变更文件名,甚至隐形,或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
大家对木马病毒的看法是什么/>
木马的作用是赤裸裸的偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于别处,游戏帐号,股票帐号,甚至网上银行帐户等等.达到偷窥别人隐私和得到经济利益为目的
防止电脑中毒 比较推荐用腾讯电脑管家的
管家是集“杀毒+管理”,系统安全防护于一身,自带系统修复引擎的杀毒软件,可以在杀毒后自动修复系统文件
管家独有的二代反病毒引擎,防护查杀更彻底
谈谈你对病毒,木马,蠕虫,以及黑客攻击的认识。
首先病毒,木马,蠕虫统称为电脑病毒。病毒(包含蠕虫)的共同特征是自我复制、传播、破坏电脑文件,对电脑造成数据上不可逆转的损坏。而木马独有特征是伪装成正常应用骗取用户信任而入侵,潜伏在电脑中盗取用户资料与信息。
黑客攻击:
黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
1、后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
2、信息炸弹
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
3、拒绝服务
拒绝服务又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。
4、网络监听
网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
5、DDOS
黑客进入计算条件,一个磁盘操作系统(拒绝服务)或DDoS攻击(分布式拒绝服务)攻击包括努力中断某一网络资源的服务,使其暂时无法使用。
我想了解一下关于病毒和木马的问题
一种恶意计算机代码,可以破坏系统程序,占用空间,盗取账号密码。严重可以导致网络、系统瘫痪
计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性,计算机病毒属于计算机软件
主行为类型与病毒子行为类型
病毒可能包含多个主行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的,病毒也可能包含多个子行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。
病毒主行为类型有是否显示的属性,用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系,见下表:
主行为类型子行为类型
Backdoor
危害级别:1
说明:
中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm
危害级别:2
说明:
中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
危害级别:1
说明:通过邮件传播
IM
危害级别:2
说明:通过某个不明确的载体或多个明确的载体传播自己
MSN
危害级别:3
说明:通过MSN传播
危害级别:4
说明:通过OICQ传播
ICQ
危害级别:5
说明:通过ICQ传播
P2P
危害级别:6
说明:通过P2P软件传播
IRC
危害级别:7
说明:通过ICR传播
说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan
危害级别:3
说明:
中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy
危害级别:1
说明:窃取用户信息(如:文件等)
PSW
危害级别:2
说明:具有窃取密码的行为
DL
危害级别:3
说明:下载病毒并运行
一、判定条款:
没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行。
二、逻辑条件引发的事件:
事件1..不能正常下载或下载的文件不能判定为病毒。
操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒
操作准则: 下载的文件是病毒,确定为:Trojan.DL
IMMSG
危害级别:4
说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
MSNMSG
危害级别:5
说明:通过MSN传播即时消息
QQMSG
危害级别:6
说明:通过OICQ传播即时消息
ICQMSG
危害级别:7
说明:通过ICQ传播即时消息
UCMSG
危害级别:8
说明:通过UC传播即时消息
Proxy
危害级别:9
说明:将被感染的计算机作为代理服务器
Clicker
危害级别:10
说明:点击指定的网页
判定条款:
没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:
该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer
危害级别:12
说明:通过拨号来骗取Money的程序
说明:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL
按照原来病毒名命名保留。
Notifier
按照原来病毒名命名保留。
Virus
危害级别:4
说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm
危害级别:5
说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper
危害级别:6
说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
一.Dropper判定条款:
没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
二.逻辑条件引发的事件:
事件1:。释放的文件不是病毒。
操作准则:释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2:释放的文件是病毒。
操作准则:释放的文件是病毒,确定该文件为:Droper
Hack
危害级别:无
说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit
说明:漏洞探测攻击工具
DDoser
说明:拒绝服务攻击工具
Flooder
说明:洪水攻击工具
说明:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam
说明:垃圾邮件。
Nuker
Sniffer
Spoofer
Anti
说明:免杀的黑客工具
Binder
危害级别:无
说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
Autorun
危害级别:9
说明:用U盘传播的系统文件(被利用)
这样的病毒杀毒软件查不出来
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
JS 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。
版本信息
版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client 说明:后门程序的控制端
KEY_HOOK 说明:用于挂接键盘的模块
API_HOOK 说明:用于挂接API的模块
Install 说明:用于安装病毒的模块
Dll 说明:文件为动态库,并且包含多种功能
(空) 说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
病毒·欺骗:警惕程度★★★,蠕虫病毒,通过邮件传播,依赖系统:WIN9X/NT/2000/XP。
此病毒用VB语言编写,运行后可能把自己复制到多个系统文件夹的任意一个中,病毒文件名随机产生,文件类型不定。可终止多种反病毒软件的运行。向外大量发送带毒邮件,标题可能为“Your Details”、“You Have been Hacked!”、“Mail Send Fail”等,邮件附件就是病毒。
反病毒专家建议:建立良好的安全习惯,不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播,一定要及时给系统打补丁;安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。
怎样认识 木马和病毒
提起木马,大家一定会想起古希腊古老的故事,古希腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。虽然有点老套,但是,木马依然离不开这个故事的背景。木马的全称是“特洛伊木马(Trojan Horse)”,也和病毒一样,是一段程序,用来破坏或者干扰用户正常使用电脑。
首先我们要大概理解一下木马类型。
(1) 破坏型
这种木马是很令人讨厌的,这个病毒可以自动的删除电脑上的重要文件,例如dLL、INI、EXE文件。
(2) 密码发送型
主要是用来盗窃用户隐私信息的,他可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时,此类病毒最重要的是会记录操作者的键盘,找到相关的有用的信息。
(3) 远程访问型
使用最多既木马。入侵者运行了客户端,使用木马者就可以通过远程连接到对方电脑,访问对方电脑资源。
(4) 键盘记录木马
这种键盘木马一般都制作的很短小精悍,主要用来记录中木马者的键盘敲击记录,并且根据网络访问情况,给木马使用者发送到指定的信箱等。
(5) DOS攻击型
DOS的全称是洪水式服务攻击。是用来请求服务器请求,让服务器忙与处理应答,而占用了大量的资源,最后服务器资源耗尽而死机。使用多台电脑DOS攻击取得的效果更好,可以用他来慢慢攻击更多的电脑。
(6) 代理木马
可以把自己的电脑从其他地方代理,然后重新访问网络服务器,起一个中转的作用。
(7) FTP木马
FTP木马容量也很小,一般情况下是用来打开21端口来等待用户连接。
(8) 程序杀手木马
主要是用来关闭一些监控软件等,这样就可以让木马更安全的保留在系统中,防止被监控软件发现,从而对用户造成数据丢失,敏感信息泄露等故障。
(9) 反弹端口型木马
反弹端口是为了躲避防火墙的过滤而制作的。因为防火墙会对连入的链接做一个很严格的过滤,对于连出的链接可能就不是那么严格了,所以利用这一点,把端口反弹,就可以更安全的使用了。
以上为木马的基本类型,对木马进行了一些分类,以便用户分类查询。
木马除此之外,还有很多特征。和病毒特征一样,了解这些木马的特征后,就可以更方便的判断木马和找出对策来清除密码了。
(1) 木马具有很好的隐蔽性,能够在用户使用电脑的情况下,不知不觉的在电脑后台运行。因为木马怕被发觉,所以需要尽力隐藏,从开始植入目标电脑开始,就始终不会显示,使用各种手段隐藏自己。而木马的制作者已经注意到这个问题,把它们隐藏了起来,使用捆绑软件或者修改注册表文件等达到目的,不会在桌面或者系统内醒目的地方产生图标,尽力隐藏在深层目录或者系统文件夹下。同时,在进程中也隐藏了自己,把自身定义为系统进程,不让用户发觉。
(2)木马具有自动运行的特性。因为木马是放到对方电脑上的,木马必须自动进行连接,并且自动修改目标电脑的设置,比如注册表、启动文件等。
(3)木马感染后并不公开,并且不知道其危害程度,这就减少了对木马的了解,同时对木马造成的危害没有一个标准的评价。
(4)木马有自动恢复自身程序的功能。木马可以自动运行,同样可以具有自动修复自身程序的功能。自动运行的时候,可能还在某些地方多拷贝一些病毒文件,以防被杀毒软件查杀或者程序损坏。
(5)木马可以自动打开端口。木马算是一个智能的软件,除了以上自动运行自动修复以外,还可以自动打开特定的连接端口,让入侵者可以连接到受害者的电脑。
(6)木马的功能特殊。因为木马是隐藏执行的,不希望让用户发觉,那么需要特别针对某些功能的特征下,尽量做的容量小一点。同时,木马的特殊点还在意,它可以自动搜集一些受害者电脑内的信息。
木马的自动启动和隐藏功能是很重要的,这样可以使木马更长时间的潜伏在电脑内。同样和软件自动启动一样,可以加载或者修改到很多设置里。
(1)在Win.ini中启动,在Win.ini的[Windows]字段中有启动命令“load=”和“run=”,这两个是系统在启动的时候加载和运行的程序。.INI文件是应用程序的启动配置文件,利用文件可以启动程序的特点。
(2)在System.ini中启动,System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是系统的引导文件位置,从这里也可以自动启动。
(3)在注册表中启动,注册表中有一个启动键值,里面有一些启动时候需要加载的程序,同理,也可以在系统的启动组文件里启动。
(4)在批处理文件中使用,批处理文件可以自动执行处理中设置的命令,也同样可以启动木马。
(5)系统配置文件Config.sys中启动,Config.sys文件里可以设置系统加载的外壳、程序等。
(6)修改文件关联,把相关文件的关联修改为木马程序的关联。
(7)捆绑文件,利用捆绑软件的工具,可以很方便的把正常的软件程序和木马捆绑在一起,运行程序的时候会一起运行。
木马的隐藏,可以让用户以及杀毒软件很难找到木马,保护自身程序的安全。一般隐藏的话,可以在任务栏和任务管理器中隐藏,因为一般情况下,系统都会把大部分软件和进程放到任务栏和任务管理器中。另外,木马的连接是依靠端口来连接的,所以木马的端口号是很大的,因为用户无法全部检查那么多端口。
但是木马再怎么制作的好,也同样有缺点,完全可以被杀毒软件以及木马专杀工具检查出来。在对付特洛伊木马程序方面,可以采用以下的方法。
1、建议使用杀毒软件检查,并且把杀毒软件病毒库及时更新。因为如果杀毒软件没有检查出的话,可能是您的病毒库版本比较低,需要升级。同时,推荐使用木马克星,木马克星是一款适合网络用户的安全软件,既有面对新手的扫描内存和扫描硬盘功能,也有面对网络高手的众多调试查看系统功能。
2、检查内存里是否有占用资源很多的非系统或者软件进程,如果有的话,请先关闭以后再杀毒。
3、检查注册表,注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Runserveice,这两个里面是Windows的启动运行目录,可以查找一下是否有奇异的程序出现。
4、检查系统配置文件,系统配置文件包括了win.ini文件、system.ini文件以及config.sys文件,这三个文件里都记录了操作系统启动的时候需要启动和加载的程序,而且可以查看文件路径是否为正常程序。
实际上清除木马手段还有很多,相信大家通过以上内容的学习,能够创造出比笔者更好的清除方法,这里只介绍几种常规的清除方法以便大家参考。另外,我们在使用电脑的时候,也应该注意对木马的防范。
对于陌生人的电子邮件,需要检查源地址,然后再去看信件里有什么内容。如果有附件的话,也有要小心查看,因为附件里可能隐藏了可执行文件的后缀。尽量打开病毒监控制,保持病毒库的更新,同时建议使用木马克星不定期检查是否有木马存在。当发现电脑的网络状态不正常的时候,需要马上断开网络,然后检查原因,看是否为木马导致的。同时,在平时的使用过程中还需要注意c:\、c:\Windows、c:\Windows\system这三个目录下的文件,因为这三个目录是木马最习惯隐藏的地方。
木马并不是简单的病毒而已,它可能会造成很多预想不到的破坏,而且可能使您的重要文件丢失等。不过,只要我们在平时的使用过程中,多加注意防护,就基本上可以放心使用电脑了。
