这是一个总称是特洛依的木马的一种,一般是通过IE来传播或是安装程序,U 盘。首先下几个软件:卡巴斯基、木马杀客和超级兔子。然后进安全模式,用兔子将你的IE临时文件夹,缓存等全部清理,用木马杀客杀毒,杀好后可以用卡巴在杀一遍。然后重新启动进入,用木马杀客杀一下如果没有,那应该没事了如果还有的话,可能他已经感染你的引导区了,那就只能请你格式化全部的盘,注意最好重新将硬盘分区,那就没问题了。重新装系统后,你可以用 firefox,这比IE好�退阌胁《镜纫膊换嵊跋炷愕恼�鱿低?
你也可以下瑞新杀,8月5日瑞新针对这几类病毒做出了杀毒工具
不知道能不能帮助你,希望你的问题可以尽快解决!
一位客户的PC出现了奇怪的症状,速度变慢,CD-ROM托盘毫无规律地进进出出,从来没有见过的错误信息,屏幕图像翻转,等等。我切断了他的Internet连接,然后按照对付恶意软件的标准步骤执行检查,终于找出了罪魁祸首:两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice,还有一个是不太常见的The Thing。在这次事件中,攻击者似乎是个小孩,他只想搞些恶作剧,让别人上不了网,或者交换一些色情资料,但没有什么更危险的举动。如果攻击者有其他更危险的目标,那么他可能已经从客户的机器及其网络上窃得许多机密资料了。
特洛伊木马比任何其他恶意代码都要危险,要保障安全,最好的办法就是熟悉特洛伊木马的类型、工作原理,掌握如何检测和预防这些不怀好意的代码。
一、初识特洛伊木马
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。
二、极度危险的恶意程序
对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在,但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,例如,经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具,用户所有的磁盘空间几乎都被侵占殆尽,但除此之外,特洛伊木马还有其独一无二的特点——窃取内容,远程控制——这使得它们成为最危险的恶意软件。
首先,特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风,特洛伊木马能够窃听谈话内容。如果PC带有摄像头,许多特洛伊木马能够把它打开,捕获视频内容——在恶意代码的世界中,目前还没有比特洛伊木马更威胁用户隐私的,凡是你在PC前所说、所做的一切,都有可能被记录。
一些特洛伊木马带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门,即使木马后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。
其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,当然还可以利用被侵占的机器攻击其他机器。二年前,一个家庭用户请我帮忙,要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址,而且在他的浏览器缓冲区中,我也找到了该笔有争议的交易的痕迹。另外,我还找到了SubSeven(即Backdoor_G)特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关,但可以看出交易发生之时特洛伊木马正处于活动状态。
三、特洛伊木马的类型
常见的特洛伊木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面,所以这些特洛伊木马的体积也往往较大,通常达到100 KB至300 KB,相对而言,要把它们安装到用户机器上而不引起任何人注意的难度也较大。
对于功能比较单一的特洛伊木马,攻击者会力图使它保持较小的体积,通常是10 KB到30 KB,以便快速激活而不引起注意。这些木马通常作为键记录器使用,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常,这些微型的木马只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。
随便找一个Internet搜索网站,搜索一下关键词Remote Access Trojan,很快就可以得到数百种特洛伊木马——种类如此繁多,以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列,每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头,它不仅有一个可编程的API,还有许多其他新型的功能,令许多正规的远程控制软件也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)发行,希望能够吸引一批正规用户,以此与老牌的远程控制软件如pcAnywhere展开竞争。
但是,它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得较好,在Windows NT机器上则略逊一筹)、密码、插件等。
Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个软件开发工具包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。
■ SubSeven
SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。
SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计算机,等等。
SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。
四、检测和清除特洛伊木马
如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐,那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马是系统管理员的首要任务。
要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几年的成功已经证明了它的效果。
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。
大多数操作系统,当然包括Windows,都带有检测IP网络状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口有一定的了解)。
显示了一次Netstat检测的例子,检测结果表明一个Back Orifice使用的端口(即31337)已经被激活,木马客户程序使用的是远程机器(ROGERLAP)上的1216端口。除了已知的木马常用端口之外,另外还要特别留意未知的FTP服务器(端口21)和Web服务器(端口80)。
但是,Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接,必须使用端口枚举工具,例如,Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛伊木马,也能够建立程序与端口的联系。另外,Windows XP的Netstat工具提供了一个新的-o选项,能够显示出正在使用端口的程序或服务的进程标识符(PID),有了PID,用任务管理器就可以方便地根据PID找到对应的程序。
如果手头没有端口枚举工具,无法快速找出幕后肇事者的真正身份,请按照下列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下特洛伊木马尚未装入内存。接下来,分别运行各个前面找出的有疑问的程序,每次运行一个,分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接,那就要特别小心了。深入研究一下所有可疑的程序,删除所有不能信任的软件。
Netstat命令和端口枚举工具非常适合于检测一台机器,但如果要检测的是整个网络,又该怎么办?大多数入侵检测系统(Intrusion Detection System,IDS)都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可识别的特殊数据结构,特洛伊木马数据包也一样。只要正确配置和经常更新IDS,它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见http://www.snort.org,了解常见的源代码开放IDS工具。
五、处理遗留问题
检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,那么攻击者利用该木马可能已经有相当长的时间了。
其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗?攻击者获取管理员权限了吗?仔细检查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外?
在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合,最好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)。
在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.
丁香鱼有专杀www.luckfish.net进木马防护
特洛伊木马完全解析
一位客户的PC出现了奇怪的症状,速度变慢,CD-ROM托盘毫无规律地进进出出,从来没有见过的错误信息,屏幕图像翻转,等等。我切断了他的Internet连接,然后按照对付恶意软件的标准步骤执行检查,终于找出了罪魁祸首:两个远程访问特洛伊木马——一个是Cult of the Dead Cow臭名昭著的Back Orifice,还有一个是不太常见的The Thing。在这次事件中,攻击者似乎是个小孩,他只想搞些恶作剧,让别人上不了网,或者交换一些色情资料,但没有什么更危险的举动。如果攻击者有其他更危险的目标,那么他可能已经从客户的机器及其网络上窃得许多机密资料了。
特洛伊木马比任何其他恶意代码都要危险,要保障安全,最好的办法就是熟悉特洛伊木马的类型、工作原理,掌握如何检测和预防这些不怀好意的代码。
一、初识特洛伊木马
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到网络要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。
二、极度危险的恶意程序
对于大多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在,但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,例如,经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具,用户所有的磁盘空间几乎都被侵占殆尽,但除此之外,特洛伊木马还有其独一无二的特点——窃取内容,远程控制——这使得它们成为最危险的恶意软件。
首先,特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风,特洛伊木马能够窃听谈话内容。如果PC带有摄像头,许多特洛伊木马能够把它打开,捕获视频内容——在恶意代码的世界中,目前还没有比特洛伊木马更威胁用户隐私的,凡是你在PC前所说、所做的一切,都有可能被记录。
一些特洛伊木马带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门,即使木马后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。
其次,如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,当然还可以利用被侵占的机器攻击其他机器。二年前,一个家庭用户请我帮忙,要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址,而且在他的浏览器缓冲区中,我也找到了该笔有争议的交易的痕迹。另外,我还找到了SubSeven(即Backdoor_G)特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关,但可以看出交易发生之时特洛伊木马正处于活动状态。
三、特洛伊木马的类型
常见的特洛伊木马,例如Back Orifice和SubSeven等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式,以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面,所以这些特洛伊木马的体积也往往较大,通常达到100 KB至300 KB,相对而言,要把它们安装到用户机器上而不引起任何人注意的难度也较大。
对于功能比较单一的特洛伊木马,攻击者会力图使它保持较小的体积,通常是10 KB到30 KB,以便快速激活而不引起注意。这些木马通常作为键记录器使用,它们把受害用户的每一个键击事件记录下来,保存到某个隐藏的文件,这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常,这些微型的木马只用来窃取难以获得的初始远程控制能力,保障最初入侵行动的安全,以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。
随便找一个Internet搜索网站,搜索一下关键词Remote Access Trojan,很快就可以得到数百种特洛伊木马——种类如此繁多,以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列,每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头,它不仅有一个可编程的API,还有许多其他新型的功能,令许多正规的远程控制软件也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)发行,希望能够吸引一批正规用户,以此与老牌的远程控制软件如pcAnywhere展开竞争。
但是,它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数,包括TCP或UDP、端口号、加密类型、秘密激活(在Windows 9x机器上运行得较好,在Windows NT机器上则略逊一筹)、密码、插件等。
Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个软件开发工具包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。
■ SubSeven
SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。
SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计算机,等等。
SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。
四、检测和清除特洛伊木马
如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐,那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马是系统管理员的首要任务。
要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几年的成功已经证明了它的效果。
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。
大多数操作系统,当然包括Windows,都带有检测IP网络状态的Netstat工具,它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口有一定的了解)。
显示了一次Netstat检测的例子,检测结果表明一个Back Orifice使用的端口(即31337)已经被激活,木马客户程序使用的是远程机器(ROGERLAP)上的1216端口。除了已知的木马常用端口之外,另外还要特别留意未知的FTP服务器(端口21)和Web服务器(端口80)。
但是,Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接,必须使用端口枚举工具,例如,Winternals Software的TCPView Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛伊木马,也能够建立程序与端口的联系。另外,Windows XP的Netstat工具提供了一个新的-o选项,能够显示出正在使用端口的程序或服务的进程标识符(PID),有了PID,用任务管理器就可以方便地根据PID找到对应的程序。
如果手头没有端口枚举工具,无法快速找出幕后肇事者的真正身份,请按照下列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文件夹等。然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下特洛伊木马尚未装入内存。接下来,分别运行各个前面找出的有疑问的程序,每次运行一个,分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个Internet连接,那就要特别小心了。深入研究一下所有可疑的程序,删除所有不能信任的软件。
Netstat命令和端口枚举工具非常适合于检测一台机器,但如果要检测的是整个网络,又该怎么办?大多数入侵检测系统(Intrusion Detection System,IDS)都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可识别的特殊数据结构,特洛伊木马数据包也一样。只要正确配置和经常更新IDS,它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见http://www.snort.org,了解常见的源代码开放IDS工具。
五、处理遗留问题
检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,那么攻击者利用该木马可能已经有相当长的时间了。
其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗?攻击者获取管理员权限了吗?仔细检查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外?
在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合,最好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)。
在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.
中了“特洛伊木马”,可以使用360杀毒软件清理。
360杀毒是360安全中心出品的一款免费的云安全杀毒软件。它创新性地整合了五大领先查杀引擎,包括国际知名的BitDefender病毒查杀引擎、小红伞病毒查杀引擎、360云查杀引擎、360主动防御引擎以及360第二代QVM人工智能引擎,带来安全、专业、有效、新颖的查杀防护体验。据艾瑞咨询数据显示,截至目前,360杀毒月度用户量已突破3.7亿,一直稳居安全查杀软件市场份额头名。
建议先试试360安全卫士最新版的8.1,然后先进行插件清理,有恶意插件立即清理,在进行系统修复,对系统进行修复,最后进行下木马查杀,对系统进行全盘木马查杀,重新启动系统!如果还有问题,可以使用360安全卫士功能大全里的系统急救箱,对系统进行修复。
360查杀木马很不错的,360安全卫士运用云安全技术,在拦截和查杀木马的效果、速度以及专业性上表现出色,能有效防止个人数据和隐私被木马窃取,被誉为“防范木马的第一选择”,另外360杀毒不但查杀能力出色,而且能第一时间防御新出现的病毒木马,而且360系统急救箱对顽固木马有很好的查杀作用
首推:木马清道夫2009,木马监控,木马防御 、网络监控 、强力保护 (自身保
、系统漏洞预警、定时升级
http://www.fygsoft.com/index66.htm
1:http://www.gougou.com/search?search=360%E5%8D%AB%E5%A3%AB&id=1
360卫士我也在用 有专门杀木马还有系统漏洞维修 你光杀木马不够 要知道 你中木马也有很大原因你电脑有漏洞 被人攻击了。。漏洞是你下载东西长期就生成了。。很平常
2:EWIDO3.5软件, 这个软件是杀木马最强的
http://xdowns.com/soft/8/21/2006/Soft_31607.htmlEwido Anti-Spyware V4.0.0.172C简体中文语言绿色特别版
3:Trojan Remover V6.51_绿色英文版_清除特洛伊木马/自动修复系统文件
http://www.xdowns.com/soft/softdown.asp?softid=29335
这是一种网页病毒,手工清除比较麻烦,请升级杀毒软件病毒库到最新然后重启计算机进入MSDOS实时模式执行杀毒软件DOS版程序进行清除(关于杀毒软件DOS版命令请看杀毒软件帮助文档),如计算机无杀毒软件可以从www.duba.net下载金山毒霸2006然后免费申请一个通行证(可以免费升级7天),然后重启到DOS以后进行杀毒。
付费内容限时免费查看
回答
第一步是进入安全模式(最好进入网络安全模式)。在安全模式下,病毒无法运行,也无法感染其他文件。在网络安全模式下,通过使用防病毒软件的云扫描技...
进入安全模式以再次扫描并杀死后,我们需要在硬盘上再次执行“完全扫描”以检测是否缺少任何鱼类。
如果计算机中存在顽固的特洛伊木马,则建议使用特殊的查杀工具(这种类型的软件随附了许多杀毒软件)。操作也非常简单,只需打开软件并单击扫描即可。
如果不起作用,则只能重新安装系统。由于计算机已被病毒感染,因此此时最好的重新安装方法是重新安装USB闪存驱动器。
1、如果木马正在运行,则你无法删除其程序,这时你可以重启动到DOS方式然后将其删除;
2、有的木马会自动检查其在注册表中的自启动项,如果你是在木马处于活动时删除该项的话它能自动恢复,这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除;
3、在做删除操作和注册表修改操作前一定要先备份。
更多5条
AutoGuarder u盘病毒防御者
http://download.rensoft.com.cn/downloads/AutoGuarder2.3.5.295.exe
用上述软件查杀,然后看一下“IEFO映像修复”选项,里面是不是有需要修复的内容,如果有修复即可。
推荐使用卡巴斯基2009+360安全卫士组合作为防御体系,另外,建议增加一个受限用户,平时用受限用户操作,减少病毒木马的入侵。
顽固病毒木马建议在安全模式(启动后在出现windows徽标前,按F8,出现菜单后选择安全模式)下查杀
相关软件|免费下载资讯发布时间:2022-06-14 04:40:08
推荐理由: 一键租号助手是一款非常好用的租号软件,在这款软件里还能轻松返利领红包,提供了各种超好用的游戏账号,让你轻松当大神,手机一键下单,不管是手游还是端游,都有高端账号可租,感兴趣的朋友不妨下载体验一下吧!一键租号助手简介:一个为玩家提供各类型游戏的租号
推荐理由: 租号王每天都有各种各样的游戏账号在这里进行交易,你可以按照关键词搜索想租赁的账号,也可以直接买下账号。有的大神账号的价格也是非常便宜的,你可以从新人小白变成大神,体验大神账号的快感。同时在这里提供一键上号器哦,欢迎有需要的朋友下载使用!租号王软件
推荐理由: 租号号,随时租赁您的游戏账号,软件致力于为广大游戏玩家提供一个自由的租赁交易平台,保障玩家们的利益,这里不管是苹果还是安卓我们都提供优质的账号租赁服务,让您游戏不必从零开始,感兴趣的玩家可以下载体验一下哦!租号号官方介绍租号号app可以随时租赁游戏
推荐理由: 有剑气app安卓版这是一款充满二次元气息的手游租号软件,涵盖二次元漫画,资讯,游戏,等一系列产品,让你在这里遇到更多志同道合的朋友,喜欢就快来绿色资源网下载吧!有剑气app基本简介有剑气app-年轻有激情的动漫交流平台,有漫画连载、新番资讯、游戏评测、精彩
推荐理由: 租号玩官方app手机版是经过玩家实际验证确实可行的手机租好平台,各种游戏、手游的极品账号任你租,体验人民币玩家的快感。为你带来便捷的组号服务,拥有安全可靠的保障,随时随地可以租厉害的号来玩,快来下载租号玩app吧!租号玩平台介绍租号玩app在为用户提供服
推荐理由: 租号营地是一款非常方便的租号app,这里有你所想要的大量热门游戏的账号出租,lol、DNF、王者荣耀、和平精英、阴阳师、QQ飞车、火影忍者等等等等这里全都有,大量的优质皮肤,装备随你选择,信息明了,可以根据自己的需求来选择想要租的账号,现在下载还有租号福利
推荐理由: 租号酷最新版本为玩家们提供了手游租号和上号服务,覆盖了大量热搜网游资源,无论是租号还是上号统统满足!该平台为玩家推荐了海量优质的账号数据,让玩家朋友们可以轻轻松松在线租赁游戏账号。赶紧过来收藏了吧!租号酷官方版介绍租号酷是一家专业从事游戏账号租赁
推荐理由: 租号侠免费版可以快速的出租自己的账号和游戏密码信息,给人的感觉还是相当的不错的,而且还能快速的升级自己的等级和玩法特色,给人的感觉还是相当的不错的,而且操作起来也是非常的简单的,喜欢就来下载吧!租号侠官方介绍租号侠APP,各种游戏账号租号平台,让你在
推荐理由: 租号玩福利版为玩家们提供了海量优质的游戏账号租赁交易服务,玩家们可以在线自由出售、购买游戏账号。还提供了便捷的游戏上号服务。并且有专职游戏客服实时为您解决各种游戏账号问题,是玩家必备的游戏租号app,欢迎大家下载使用!应用介绍租号玩福利版是一款游戏
推荐理由: 一元租号app是一款安全实惠的租号平台手机客户端,在这里你可以花一块钱来租号,无论是王者荣耀、和平精英还是cf,都可以在找到租到符合你要求的账号,海量的游戏账号这里都能找到,你可以自由进行搜索,有需要的用户赶快来下载使用吧!一元租号上号器软件介绍一元
推荐理由: 借号网平台给玩家提供最贴心的租号服务平台,让你感受到租号的好处,买卖双方都是非常的优质的,给人的感觉就是非常的不错的,而且租号十分的快捷,操作起来也挺不错的,喜欢的用户千万不要错过了,快来下载吧!软件介绍借号网是专业安全的游戏租号平台,为玩家提供
推荐理由: 热游租号app拥有海量游戏账号供你挑选,无论是什么手游账号这里全都有,让你可以和朋友们一起开黑游戏,而且租号十分优惠,一键快速上号十分方便,有需要的用户赶快来下载体验吧!热游租号软件介绍热游租号专为游戏玩家提供绿色安全和优质的增值服务。随着移动互联
推荐理由: 紫色手游登号器app最新版本是u号租推出的手游免验证直接登录账户神器。在手游登号器里面有各大手游的攻略资源等等,最关键的功能还是租号登号功能,通过手游登号器租号,安全有保障,平台有客服介入全程监督,如果感兴趣的话,欢迎来下载使用!官方介绍手游登号器最
推荐理由: 游戏猴软件安卓版是游戏玩家的好帮手,用户可以在这里租账号买账号和出售账号换钱,还可以进行账号托管服务,安全有保障,还可以为你智能推荐适合的账号,让玩家有更好的游戏体验,喜爱的朋友赶快下载使用吧!官方介绍游戏猴为游戏玩家提供租号、账号交易等服务。希
推荐理由: 趣玩租号是相当不错的租号软件,非常方便的一款软件,各种各样的租号软件,账号和信息都是特别的不错的,感觉上还是相当的赞的,各个段位和装备账号信息,千万不要错过这些个机会了,快来绿色资源网下载吧!软件介绍玩家在需要多个账号开黑,或者体验不同游戏时所提
推荐理由: 娱梦租号app让你可以一键租赁各种游戏账号来进行游戏,这里有海量热门游戏的高质量账号等你来体验,而且价格十分实惠,平台安全可靠,有需要的用户赶快来下载体验吧!娱梦租号软件介绍国内专业的游戏账号租号平台,海量租号租用,上号有保障!国内专业账户租号平台,上
推荐理由: 全民租号软件安卓版是非常好用的手游账号交易app,覆盖了时下的热门和新手游,用户可以根据游戏的名称来查找所对应的账号,还有一些为高端账号,交易安全有保障,欢迎感兴趣的朋友下载体验!官方介绍全民租号专业的游戏租号平台,为玩家提供了端游、手游、加速器、
推荐理由: 优号m给你优质的交友租号,丰富的游戏大好给你豪华的体验让你自由的交易,平台支持账号交友,租号体验优质的账号皮肤,角色,数据转移等,还有特色的陪玩给你的游戏体验非常的趣味,有需要的用户就来下载吧啊!优号M官方介绍专业的游戏交易平台优号猫,涵盖手游,端
推荐理由: 5866租号app安装包名称叫租个号!为玩家提供了安全、极速的游戏账号交易服务。支持多款大型游戏在线租号交易买卖。平台还提供了24小时客服在线服务,实时为您解决各种租号问题。需要的朋友欢迎安装。官方介绍5866租号平台为广大游戏爱好者提供了优质游戏账号以及游
推荐理由: 掌上租号app是专为喜欢玩游戏的朋友们提供的一个租号服务软件,无论你喜欢什么样的游戏,在这里都能租到你想要的账号,与好友开黑不再是问题,而且价格都比其它平台要更加的便宜实惠哦,有需要的朋友就请登录使用吧!掌上租号官方版软件介绍掌上租号提供专业的游戏
推荐理由: 号享帮助你租到低价的会员账号,你还能把自己的会员账号分享出来进行出租。上面的会员账号有很多种类,你可以自行搜索查找,不仅可以共享租号还可以买下会员账号,让你开会员省下不少钱。如果遇到共享的账号密码不对,可以联系客户解决。欢迎有需要的朋友下载使用!
推荐理由: 瑶瑶租号多平台游戏账号在这里都能找到,提供海量的账号,都是人工亲自审核,保障账号的安全度,让各位游戏玩家玩得开心。账号也是分很多种的,你可以根据需求选择,有时候也会有限时特价的超级账号哦。而且提供游戏上号器,保障信息安全。欢迎有需要的朋友下载使用
推荐理由: 玩号吧可以在这里租到非常优惠的游戏账号,国内外的热门游戏或者冷门游戏都可以在这里找到账号,每天都有大神在供应账号哦。而且平台有多种优惠的账号套餐,你可以按需求进行选择套餐。你也可以在这里卖自己的账号赚钱哦,欢迎有需要的朋友下载使用!玩号吧软件介绍
推荐理由: 绿色资源网收集的租号玩商户软件客户端为用户提供一个极其靠谱的游戏账号租赁平台,多个系统应有尽有,让你可以根据个人需求筛选出超多不同的账号类型,支持账号绑定、改动、开卡等多项操作,很好的满足了不同用户的不同需求!租号玩商户管理软件简介多种类型的游戏账号应有尽有,便,欢迎免费下载体验
推荐理由: 薄荷租号电脑版专为游戏爱好者提供的租号平台,在这里可以免费和低成本玩到国内外上千款热门大作游戏。软件自带游戏加速的功能开启游戏更加快延迟更低,内置每天更新大量账号发放,一键填充登录省去你输入账号的时间。欢迎有需要的朋友下载使用!薄荷租号电脑版软件
推荐理由: 宙斯自助租号系统是一款专门为广大的游戏玩家提供租号服务的游戏平台,这里拥有超超多热门游戏的号码出租,让你享受大神战场的刺激游戏体验,同时还有众多精彩礼包等着你来领取哦,喜欢就来绿色资源网下载吧!宙斯租号平台简介:宙斯自助租号系统是专为游戏玩家
推荐理由: 交易猫租号安全吗?交易猫租号平台是专门为广大的游戏玩家打造的租号服务软件,用户可以在平台内租用大神好,感受与大神们一起打游戏的体验,多种热门游戏账号均可出租哦,喜欢就来绿色资源网下载吧!交易猫租号app简介:交易猫是国内专业的手机游戏交易平台,安全
推荐理由: 宙斯租号app是一款正规的游戏租号平台,众多热门游戏全面覆盖,手游端游你喜欢玩的这里都有,提供账户等级与装备信息,快速租号平台安全可靠,价格优惠支持续租功能,欢迎来绿色资源网下载!宙斯租号平台介绍宙斯租号专业的游戏租赁平台由上海蚁领网络科技有限公司
推荐理由: 薄荷租号(附上号器)下载,薄荷租号(附上号器)是一款为游戏玩家打造的高级账号服务平台,附带游戏上号器,内置上百款热门游戏都能一键上号,反外挂功能保障游戏账号的安全 ,人性化的售后服务,人工客服24小时待命为你解决租号使用过程中的问题,有需要的小伙伴快来免费下载安装吧!
推荐理由: 虚贝租号上号器免费版下载,虚贝租号上号器免费版是一款便捷实用的快捷上号软件,这款软件对于小白也很友好,独有的上号工具操作方便,专属渠道定制可以让用户享受最好的登陆服务,海量游戏账号供用户选择,一键登快速便捷,加密保护账号安全,让你买卖无忧,有感兴趣的小伙伴快来选择安装吧!