木马病毒结构图案（木马病毒代码图片）

本文目录一览：

• 1、高手看看,这些是什么木马病毒,还会复生吗??
• 2、这个是木马病毒图标吗？
• 3、计算机病毒程序结构

高手看看,这些是什么木马病毒,还会复生吗??

这个木马替换了C:\WINDOWS\system32\notepad.exe

并切不让恢复，木马（特洛伊木马），也称为后门，英文叫做“Trojan house”，其名称取自希腊神话的《特洛伊木马记》，它是一种基于远程控制的黑客工具，木马的特性一般有：①包含于正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性②具有自动运行性③具有自动恢复功能。④能自动打开特别的端口。⑤包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入你的计算机，通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。

木马的种类：①远程控制木马。例如冰河②密码发送木马。例如 QQ 木马③键盘记录木马。一般的木马都具有这功能④破坏性质的木马。⑤代理木马。在肉鸡上作跳板的木马。⑥FTP 木马⑦反弹端口型木马。简单来说就是反防火墙的木马，例如网络神偷⑧dll 木马。这是现在最新出来的采用进程插入技术的木马，是最难对付的木马之一。⑨综合型。

想不中木马，先要了解木马植入的惯用伎俩（很多病毒的传播也是利用同样的手段，因为木马也算是病毒的一种）：

1. 邮件传播：木马很可能会被放在邮箱的附件里发给你，当你在没采取任何措施的情况下下载运行了它，即便中了木马。因此对于带有附件的邮件，你最好不要下载运行，尤其是附件名为*.exe的，并且请养成用杀毒软件扫描附件的习惯。

2. QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起，然后骗你说是一个好玩的东东或者是PLMM的照片，你接受后运行的话，你就成了木马的牺牲品了。

3. 下载传播：在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行病毒扫描的习惯。

在这里提醒一下，若被杀毒软件扫描到有病毒请立即清除。不要以为不运行这些带木马的文件就可以了，下面这种木马植入方法专门用来对付有此想法的人。

4. 修改文件关联。这是木马最常用的手段之一，比方说正常情况下txt文件的打开方式为Notepad.exe（记事本），攻击者可以把txt文件打开方式修改为用木马程序打开，这样一旦你双击一个txt文件，原本应用记事本打开的，现在却变成启动木马程序了！当然，不仅仅是txt文件，其它诸如htm、exe、zip、com等都是木马的目标。对付文件关联木马，只能检查“HKEY_CLASSES_ROOT\文件类型\shell\open\command”这个子键，查看其键值是否正常。

5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。

6. 网页植入。现在比较流行的种植木马方法，也是黑客们惯用的无形杀手，即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候，浏览器动不动就会弹出几个提示窗口，其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件，如果不安装里面的控件，以后仍然会出现这种窗口，并且网页的功能就不能实现了。利用这一点，可以制作一个ActiveX控件，放在网页里面，只要用户选择了安装，就会自动从服务器上下载一个木马程序并运行，这样就达到植入木马的目的了。按此方法制作的木马对任何版本的IE都有效，但是在打开网页的时候弹出对话框要用户确定是否安装，只要用户不安装，黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件，请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装，若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的木马会悄悄地运行。对于DATA所标记的URL，IE会根据服务器返回HTTP头中的Content－Type来处理数据，也就是说如果HTTP头中返回的是appication/hta等，那么该文件就能够执行，而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马，并修改其中ftp服务器的地址和文件名，将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时，会出现“Internet Explorer脚本错误”的错误信息，询问是否继续在该页面上运行脚本错误，当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框，因此不够隐蔽，遇到此情况只要看清消息来源的站点，再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码，只要对方打开这个网页就会中上木马，而他对此还是一无所知。在这里提醒各位网民，对于从未见过的URL（通常都是个人网站/论坛），最好不要访问。

那么怎样判断自己的电脑是否中了木马，中了木马时有什幺现象？很难说，因为它们发作时的情况多种多样。

但是如果你的计算器有以下表现，就很可能染上黑客病毒了。

计算器有时死机，有时又重新激活；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多。（可是，有一些程序是不会出现在这个列表里的。懂得编程的朋友应该知道这不难做到，借助PVIEW95就可以看到）。特别是在连入Internet网或是局域网后，如果你的机器有这些现象，就应小心了，当然也有可能是一些其它的病毒在作怪。由于木马程序的破坏通常需要里应外合，大多数的木马不如病毒般可怕。即使运行了，也不一定会对你的机器造成危害。不过，潜在的危害还是有的。比如，你的上网密码有可能已经跑到别人的收件箱里了！

我们也可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256*256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客也是通过端口进入你的电脑。因此，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍：

①Windows本身自带的netstat命令

此命令是显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

-a显示所有连接和侦听端口。服务器连接通常不显示。

-e显示以太网统计。该参数可以与 -s 选项结合使用。

-n以数字格式显示地址和端口号（而不是尝试查找名称）。

-s显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

-p protocol显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r显示路由表的内容。

interval重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。

如果发现有异常的端口出现，就有可能是木马常用的端口被占用。立即断开网络，用病毒库升级到最新的杀毒软件查杀病毒。

②工作在windows2000下的命令行工具fport

Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子：

D:\fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

748 tcpsvcs - 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs - 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs - 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost - 135 TCP C:\WINNT\system32\svchost.exe

利用此命令，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意，也许那就是一只狡猾的木马！

③与Fport功能类似的图形化界面工具Active Ports

Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动，而且它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。

利用查看本机开放端口，以及端口和进程对应关系的方法，可以轻松的发现基于TCP/UDP协议的木马。一般中了木马程序最简单的办法就是用杀毒软件清除，如金山毒霸等。现在的杀毒程序能查杀大部分木马，当然也有一部分查杀不了的木马。这时就需要手动清除。要想手工清除，首先需要了解一下木马通常喜欢隐藏在哪里，并自动加载。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动。木马会在计算机启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，木马都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

①win.ini 中启动 ：在 win.ini 文件中，在 [WINDOWS] 下面， “run=” 和 “load=” 是可能加载 “ 木马 ” 程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上 “ 木马 ” 了。当然你也得看清楚，因为好多 “ 木马 ” ，如 “AOL Trojan 木马 ” ，它把自身伪装成 command.exe 文件，如果不注意可能不会发现它不是真正的系统启动文件。

②system.ini 中启动 ：在 system.ini 文件中，在 [BOOT] 下面有个 “shell= 文件名 ” 。正确的文件名应该是 “explorer.exe” ，如果不是 “explorer.exe” ，而是 “shell= explorer.exe 程序名 ” ，那么后面跟着的那个程序就是 “ 木马 ” 程序，就是说你已经中 “ 木马 ” 了。

③利用注册表加载运行 ：在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

④隐形于启动组中 ： C:\windows\start menu\programs\startup ，在注册表中的位置： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"( 一般来说机率比较少 )

⑤隐蔽在 Winstart.bat 中 ：按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不， Winstart.bat 也是一个能自动被 Windows 加载运行的文件，它多数情况下为应用程序及 Windows 自动生成，在执行了 Win.com 并加载了多数驱动程序之后开始执行（这一点可通过启动时按 F8 键再选逐步跟踪启动过程的启动方式可得知）。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成，因此木马完全可以像在 Autoexec.bat 中那样被加载运行，危险由此而来。

⑥在 Autoexec.bat 和 Config.sys 中加载运行

⑦通过文件关联启动 ：此类木马上文已讲，在这里不再

⑧比较新的木马启动技术就是利用 dll 嵌入技术，把木马嵌进正常使用程序进程里，手工很难清理。这种木马不使用进程，而使用Windows系统中的另一种“可执行程序”——dll（应用程序扩展），这样我们就不能通过Windows的进程管理器来发现这种木马了，但是我们可以借助第三方软件（Windows优化大师的进程管理）来找到木马使用的dll文件，找到后到DOS下删除。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

（五）病毒防杀

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

计算机病毒可根据感染形态进行分类，大致可分为以下几种：

① 引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FAT表）等，一旦发作，计算机的数据通常会全部丢失。这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。

② 文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.COM、*.EXE、*.DLL等）中。当这些文件被执行时，病毒的程序就跟着被执行。文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在“带毒杀毒”的问题，通常不易杀干净。一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。

③ 复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.COM、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。由于这个特性，使得这种病毒具有很强的传染力，一旦发病，破坏程度也会非常强。

④ 变型病毒：又称幽灵病毒，这一类病毒使用一个复杂的算法，使自己每传播一次都具有不同的内容和长度。一般的做法是：病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以费尽心机进行自身代码的变化，主要原因是为了躲避杀毒软件对其病毒特征代码的扫描，以避免被杀毒软件清除。

⑤ 宏病毒：宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏，就是一段脚本程序，由于Word、Excel等软件在处理文档时，为了使程序更智能化地按人的意愿工作，允许在Word中加一些VBS程序，这给宏病毒提供了滋生的土壤，宏病毒就是用这些VBS程序书写的程序。

⑥ 网页病毒：网页病毒主要利用系统软件的安全漏洞，通过执行嵌入在网页HTML语言内的Jave Applet程序、JavaScript脚本程序、VBS脚本程序和ActiveX部件等可自动执行的程序，强行修改操作系统的注册表和系统配置，或非法控制系统资源，盗取用户文件。这种非法恶意程序能够自动执行，它完全不受用户的控制。你一旦浏览含有该病毒的网页，便可以在不知不觉的情况下中招，给系统带来不同程度的破坏。轻则消耗系统资源，使系统运行速度缓慢，直至重启；重则删除硬盘数据，甚至格式化硬盘。网页病毒发作通常有两种表现形式：一种是修改浏览器和注册表的各种设置，比如：IE的默认首页被修改，标题栏被添加非法信息，注册表被禁止打开等。另一种则是恶性结果，比如：开机出现对话框，格式化硬盘，全方位侵害封杀系统，最后导致瘫痪崩溃，非法读取或盗取用户文件等。网页病毒的预防通常是先打上IE补丁。接下来有两种方法：一是利用IE自身的设置进行预防，使浏览器自身不执行网页上的脚本程序，或屏蔽某些恶性网站。在IE6的internet选项的“常规”选项卡中，先选中某一网站区域，再点击“自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。要注意的是：禁用IE的JS、VBS等脚本程序的运行后，很多网页特效就没办法显示了；另一种办法，就是使用病毒防火墙，或者直接用第三方IE保护软件来保护。

⑦ “蠕虫”型病毒：顾名思义，计算机蠕虫指的是某些恶性程序代码，会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机进行感染。一般来说蠕虫能感染文件，对自身进行复制，消耗系统资源。在互联网环境下，蠕虫病毒变得非常猖獗，它靠复制自己来传播，如果你不对蠕虫的传播渠道进行控制（如操作系统的漏洞、文件共享的权限等），即使你不执行任何外来文件，也会被感染。现在的病毒一般都是既能够感染文件，又可以像蠕虫那样到处爬动（无非就是通过E－mail、共享文件夹、感染HTML代码，然后就是寻找漏洞获得写权限等等），因此，未来能够给网络带来重大灾难的，必定将是网络蠕虫病毒。

⑧ 木马病毒。木马和蠕虫之间，有某种程度上的依附关系，越来越多的病毒同时具有木马和蠕虫两者的特点。

在病毒日益猖獗的今天，安装杀毒软件和防火墙是最基本的措施。同时建议至少每周更新一次病毒库。

从目前发现的病毒来看，计算机感染病毒后的主要症状有：

1：由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来，磁盘坏簇莫名其妙地增多。

2：由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量加大。

3：由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。

4：由于病毒程序本身或其复制品不断入侵占系统空间，使可用系统空间变小。

5：由于病毒程序的异常活动，造成异常的磁盘访问。

6：由于病毒程序附加或占用引导部分，使系统引导变慢。

7：丢失数据和程序。

8：中断向量发生变化。

9：打印出现问题。

10：死机现象增多。

11：生成不可见的表格文件或特定文件。

12：系统出现异常活动。

13：出现一些无意义的画面问候语等。

14：程序运行出现异常现象或不合理的结果。

15：磁盘卷标名发生变化。

16：系统不认识磁盘或硬盘，不能引导系统等。

17：在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。

18：在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。

19：异常要求用户输入口令。

你想尝试一下中病毒的滋味的话可去下载病毒感染模拟器。

若你的计算机发生以上状况，千万不要迟疑，遵循以下步骤处理：

1：立刻断开网络。

2：找“决对干净”的DOS系统磁盘启动计算机。这时，记得要关上这张磁盘个写保护。

3：用杀毒软件开始扫描病毒。

4：若侦测到是文件中毒时，则有三种方试处理：删除文件、重命名文件或是请除病毒。记住：千万不要对中毒文件置之不理，特别是不能让其停留在可执行文件中。

5：若侦测到的是硬盘分区或引导区的病毒时，则你可以用干净的DOS磁盘中的FDISK指令，执行FDISK/MBR命令，以恢复硬盘的引导信息；或是在A驱中执行A:/SYS C:（C:为中毒磁盘），以救回硬盘引导区的资料。

6：现在，可以重新建文件、重新安装软件或 ，准备备份资料，请切记，备份资料在重新导入系统前，应先进行扫描，以防万一。

7：千万记住，重新建文档到开始运行之前。应再次扫描整个系统，以免中毒文件不小心又被存入系统中。

8：现在可以安心的开始操作计算机了。

（六）Windows系统安全隐患

许多系统都会有这样那样的安全漏洞（Bugs），其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击、Windows98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；另一些是利用协议漏洞进行攻击，如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏根目录，从而获得超级用户的权限；还有一些漏洞是由于系统管理员配置错误或疏忽引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码以明码方式存放在某一目录下，这都会给黑客带来可乘之机。

防范措施：①个人用户推荐使用Windows XP Professional。这个号称Windows家族最稳定的操作系统，基于NT内核的融合，与以前的各版本相比具有更加安全和更加保密的安全特性，它对系统安全性所做的改善，大大加强了用户建立安全、保密的系统环境的系数。②及时给系统打补丁。可以使用Windows自带的“Windows update”，建议至少每周更新一次，并多留意下官方网站的安全公告。③安装杀毒软件和防火墙。强烈建议至少每周对其更新一次。

另外我们也应充分利用Windows XP的安全特性进行一些必要的安全配置：①使用XP自带的免费Internet连接防火墙。②利用Windows XP内置的IE6.0来保护个人隐私。我们可以在IE6.0中定义透露个人信息的具体参数选项，浏览器会在用户上网时，自动判断所访问的站点的安全、可信等级，根据预先设定的隐私参数，来限制信息方面的流通。③利用加密文件系统（EFS）加密。在Windows XP中EFS使用扩展数据加密标准作为加密算法，EFS自动地为用户生成一对密钥和证书，并在利用了CryptoAPI结构的情况下以公钥加密为基础。加密后的文件夹将限制、识别用户是否属于非法访问，只有对这个文件进行加密的用户可以打开这个文件并使用它。要对文件进行加密，首先你得有NTFS分区，然后右击要加密的文件夹，在弹出的文件夹属性的“常规”栏里依次选择“高级”→“加密内容以便保护数据”→“确定”→“将更改应用于该文件夹、子文件夹和文件”→“确定”，这样，该文件夹、子文件夹及文件都已加密。需要注意的是当对文件夹进行了加密后，一定要制作备份密钥，以防万一。④屏蔽不需要的服务组件。XP众多的服务使用户享受到了前所未有的服务，但是出于种种原因，用户能真正在日常用到的组件还是为数不多，这就造成了很到的系统资源浪费和一定的安全隐患，甚至黑客们还会据此尝试一些入侵，所以屏蔽一些暂时还不需要的服务组件是安全设置中的一个重要部分。⑤管理好?/div

这个是木马病毒图标吗？

图标无法看出是否为木马，只有分清里面的程序才能知道是否为木马。

计算机病毒程序结构

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来的

第一份关于计算机病毒理论的学术工作（ "病毒" 一词当时并未使用）于 1949 年由约翰·冯·诺伊曼完成。以 "Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲，后改以 "Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。

1980 年，Jürgen Kraus 于多特蒙德大学撰写他的学位论文 "Self-reproduction of programs"。论文中假设计算机程序可以表现出如同病毒般的行为。

“病毒”一词最早用来表达此意是在弗雷德·科恩（Fred Cohen）1984年的论文《电脑病毒实验》。[7]

1983 年 11月，在一次国际计算机安全学术会议上，美国学者科恩第一次明确提出计算机病毒的概念，并进行了演示。

1986年年初，巴基斯坦兄弟编写了“大脑（Brain）”病毒，又被称为“巴基斯坦”病毒。

1987年，第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）编写。计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。

1988年在财政部的计算机上发现的，中国最早的计算机病毒。

1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”。

1990年，发展为复合型病毒，可感染COM和EXE文件。

1992年，利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒。

1995年，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器” ，幽灵病毒流行中国。[8] 典型病毒代表是“病毒制造机” “VCL”。

1998年台湾大同工学院学生刘盈豪编制了CIH病毒。

2000年最具破坏力的10种病毒分别是：Kakworm，爱虫， Apology-B， Marker ， Pretty ，Stages-A，Navidad，Ska-Happy99 ，WM97/Thus ，XM97/Jin。[9]

2003年，中国大陆地区发作最多的十个病毒，分别是：红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。[1]

2005年，1月到10月，金山反病毒监测中心共截获或监测到的病毒达到50179个，其中木马、蠕虫、黑客病毒占其中的91%，以盗取用户有价账号的木马病毒（如网银、QQ、网游）为主，病毒多达2000多种。[11]

2007年1月，病毒累计感染了中国80%的用户，其中78%以上的病毒为木马、后门病毒。[12] 熊猫烧香肆虐全球。[13]

2010年，越南全国计算机数量已500万台，其中93%受过病毒感染，感染电脑病毒共损失59000万亿越南盾

病毒分为五种特性

1繁殖性

计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。

2破坏性

计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬件环境破坏。

传染性

计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件。

3潜伏性

计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作， 会使电脑变慢。

4隐蔽性

计算机病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，隐蔽性计算机病毒时隐时现、变化无常，这类病毒处理起来非常困难。

5可触发性

编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏.

计算机的病毒原理是

病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存， 并设置触发条件，触发的条件是多样化的， 可以是时钟，系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中，进行各种破坏活动等。

病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去

感染的策略

为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写操作。基于这个原因，许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件，那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染，之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。[22]

非常驻型病毒

非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的文件，一旦搜索到该文件，搜索模块就会启动复制模块进行感染。[23]

常驻型病毒

常驻型病毒包含复制模块，其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存，并确保当操作系统运行特定动作时，该复制模块会被调用。例如，复制模块会在操作系统运行其它文件时被调用。在这个例子中，所有可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如，一个快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成特别的问题。当运行全系统防护时，杀毒软件需要扫描所有可能会被感染的文件。如果杀毒软件没有察觉到内存中有快速感染者，快速感染者可以借此搭便车，利用杀毒软件扫描文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到，这是因为其行为会使得系统性能降低，进而增加被杀毒软件侦测到的风险。相反的，慢速感染者被设计成偶而才对目标进行感染，如此一来就可避免被侦测到的机会。例如，有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。

破坏性

良性病毒、恶性病毒、极恶性病毒、灾难性病毒。

传染方式

引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的"主引导记录"。

文件型病毒是文件感染者，也称为“寄生病毒”。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。

混合型病毒具有引导区型病毒和文件型病毒两者的特点。

宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。

连接方式

源码型病毒攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。

入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。

操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。

外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。[25]

计算机病毒种类繁多而且复杂，按照不同的方式以及计算机病毒的特点及特性，可以有多种不同的分类方法。同时，根据不同的分类方法，同一种计算机病毒也可以属于不同的计算机病毒种类。

按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类。

根据病毒存在的媒体划分：

网络病毒——通过计算机网络传播感染网络中的可执行文件。

文件病毒——感染计算机中的文件（如：COM，EXE，DOC等）。

引导型病毒——感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。

还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

根据病毒传染渠道划分：

驻留型病毒——这种病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，它处于激活状态，一直到关机或重新启动

非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。

根据破坏能力划分：

无害型——除了传染时减少磁盘的可用空间外，对系统没有其它影响。

无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。

危险型——这类病毒在计算机系统操作中造成严重的错误。

非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

根据算法划分：

伴随型病毒——这类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒——通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算机将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。

寄生型病毒——除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同还可细分为以下几类。

练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。

诡秘型病毒，它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等对DOS内部进行修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。

变型病毒（又称幽灵病毒），这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

目前的电脑病毒有

WM Word6.0、Word95宏病毒

WM97 Word97宏病毒

XM Excel5.0、Excel95宏病毒

X97M Excel5.0和Excel97版本下发作

XF Excel程序病毒

AM Access95宏病毒

AM97M Access97宏病毒

W95 Windows95、98病毒

Win Windows3.x病毒

W32 32位病毒，感染所有32位Windows系统

WINT 32位Windows病毒，只感染Windows NT

Trojan/Troj 特洛伊木马

VBS VBScript程序语言编写的病毒

VSM Visio VBA宏或script的宏或script病毒

JS JScript编程语言编写的病毒

PE 32位寻址的Windows病毒

OSX OS X的病毒

OSXL OS X Lion或者更新版本的病毒

比特币勒索敲诈病毒

在中国 最有名的还要属2006年年底爆发的熊猫烧香病毒

熊猫烧香（2006年）准确的说是在06年年底开始大规模爆发，以Worm.WhBoy.h为例，由Delphi工具编写，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，导致用户一打开这些网页文件，IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播，并且利用Windows系统的自动播放功能来运行。

“熊猫烧香”还可以修改注册表启动项，被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。

损失的话大概有上亿美元 此外 这病毒发作的时候 最严重可导致整个互联网瘫痪！ 虽说熊猫烧香病毒已绝亡 但是现在病毒最缺德的要属比特币病毒 这类木马会加密受感染电脑中的docx、pdf、xlsx、jpg等114种格式文件，使其无法正常打开，并弹窗“敲诈”受害者，要求受害者支付3比特币作为“赎金”，而从网上查询到的最近比特币的比价，3比特币差不多人民币也要五六千元。这种木马一般通过全英文邮件传播，木马程序的名字通常为英文，意为“订单”“产品详情”等，并使用传真或表格图标，极具迷惑性。收件人容易误认为是工作文件而点击运行木马程序。这种木马“绑匪”的加密方式复杂，运用的是4096位算法，暴力破解需要数十万年，超级计算机破解需要十几年甚至几十年。而且它使用比特币做“赎金”，这种虚拟货币特点是分散化、匿名、只能在数字世界使用，因此比特币交易难以追踪，而同时木马罪犯也藏身匿名网络，这种名为Tor的匿名网络，曝光了“棱镜计划”的美国中央情报局技术分析员斯诺登曾经推荐使用，因为它可以让用户进行匿名访问，保证其使用的服务器无法被追踪。 还有一种病毒也是你需要注意的 那就是Virus.Win32.Alman.b这个病毒 这是一个感染型的病毒 极短时间内可以感染上千个exe可执行程序和C盘所有文件！

中此病毒的系统，将会很惨，可能不得不备份文档后重装系统。

提醒用户及早升级防范virut病毒，如果不幸中招，可根据受损程度处理。如果系统EXE破坏严重，可以采用备份进行还原，没有备份的情况下，覆盖安装可以最大程度减少损失。实在不想麻烦，可以将机子停用个把星期的时间，然后升级病毒库，再查杀，说不定一切迎刃而解了。

这个病毒使用的加密引擎来自波兰，那个IRC服务器域名为 proxim.ircgalaxy.pl，貌似也是波兰的域名。

1 windows 目录下的linkinfo.dll(33792 字节),正常的linkinfo.dll(19968 字节)在windows\system32目录下,该文件是病毒的感染与传播部分,一旦该文件启动之后,就会从网上下载apphelps.dll(有正常的apphelp.dl文件l,但不在该目录下) 到windows\apppatch目录,并注入explorer.exe,以及多种常见的网游客启端,并利用自带字典猜解局域网内所有机器的共享密码 (sb,估计是从熊猫那学来的,基本上不会成功),若成功则将病毒文件复制过去,并启动守感染程序(ins.exe,只从代码中看出,不过我没有发现这个程序)和守护服务riodrvs.sys(tmd,驱动),那像还会注入一些程序,没仔细看.

2 windows\system32\drivers下的riodrvs.sys,正常的是riodrv.sys,这个程序估计是感染部分exe文件(我的一些exe文件坏了,有些没坏,看不出规律),阻止反编译软件,令icesword,sms之类强力工具不能启动用的,真是强,不过还没有分析这个文件.

还有没有不正常的文件还有待进一步分析.

症状

中毒后压缩文件全部被感染,图标变得肥肿,点击系统盘(简称C盘)以外的盘有时会出现蓝屏,进到系统后,杀毒软件打不开,重装了系统还是不行,再点击C盘以外的盘,又被感染! 想防范这个病毒 不要到陌生网站下载软件 以免被感染。