本文目录一览:
- 1、制造木马病毒是违法的么?
- 2、黑客为什么要制造木马病毒?这样做是为了什么?
- 3、计算机安全工程师是怎样分析木马,病毒行为的
- 4、为什么我一启动网络游戏就一大堆病毒
- 5、为什么有些人要制造木马病毒啊?他们当时心里是怎样想的?
- 6、我们对那些制造木马病毒的人,有什么看法?
制造木马病毒是违法的么?
制造木马病毒属于违法行为。计算机信息系统安全保护条例有以下规定:
第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。
第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。
另外,刑法第286条中明确规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的依照以上的规定处罚。”
因此,制造木马病毒属于违法行为。
黑客为什么要制造木马病毒?这样做是为了什么?
为了进入自己不能直接进入的数据存储或者控制设备,盗取别人的数据,然后换取钱财,甚至危害公共安全。木马病毒的攻击,没有绝对的目的性,但是它能针对特定的个体,比如防御能力差系统灯。
计算机安全工程师是怎样分析木马,病毒行为的
电脑中毒有很多原因,比如:上网浏览网页,下载软件文件,接受别人发来的东西,连接U盘手机,放光盘,漏洞没有修复,导致病毒入侵。。反正病毒无处不在,想要电脑不中毒,除非你的电脑不联网。或是定期杀毒,腾讯电脑管家就可以 ,资源占用量少,云查杀木马非常给力,漏洞查杀,系统修复,而且继承了腾讯在反网络钓鱼,打击恶意网址方面十余年的安全防护经验及基因。腾讯电脑管家操作方便简单,界面清爽,清理垃圾更加全面。还有记得要修复好漏洞,病毒就无法钻漏洞进入电脑的了。
为什么我一启动网络游戏就一大堆病毒
机器狗/磁碟机/AV终结者专杀工具
AUTO木马群专杀工具
3.16-3.31感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。
具体请查看:关于清理专家反复报告发现某恶意软件的处理办法
论坛的新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
在两周左右的时间里,磁碟机作者停止了更新。遗憾的是,这并非安全软件的功劳,某种程度上讲,是这个制造、传播这个病毒的集团过于疯狂,以致引起各安全厂商的强烈反弹,黑客产业链的某些人不得不暂时低调,以避风头,磁碟机病毒卷土重来的可能性非常大。
目前,上周末出现Auto病毒入侵相当严重,毒霸客服中心日接到与Auto病毒相关的案例多达200左右,虽尚不能和磁碟机高峰时相比,同一种病毒引发上百咨询需要引起我们和用户的足够警惕。
以下是本周10大病毒列表:
1.Auto病毒群(auto.exe)
详细信息,参阅
2.磁碟机病毒家族(Worm.Vcting)
详细信息,参阅
3.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)
详细信息,请参考机器狗病毒的详细技术分析
4.JS.fullexploit.ca.4678(乌鸦喝水4678)
感染日志类似于:
引用:
病毒名称JS.fullexploit.ca.4678,文件名称count2[1].htm 原始路径C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O18HEZOP\
病毒名称(中文):乌鸦喝水4678
威胁级别:★★☆☆☆
病毒类型:网页病毒
病毒长度:4678
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个溢出漏洞利用脚本病毒,主要针对baidubar,超星阅读器,联众,暴风影音,realplayer,迅雷,一旦溢出,会从指定网址下载恶意程序执行.访问网络的时候访问网络的时候挂马传播.
1.一旦病毒脚本溢出成功后,会从上下载木马程序运行
2.该溢出脚本对应的漏洞溢出模块的CSLID如下:
baidubar: A7F05EE4-0426ID:-454F-8013-C41E3596E9E9
BAOFEN: 6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
LINK(联众): AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
超星: 7F5E27CE-4A5C-11D3-9232-0000B48A05B2
迅雷: F3E70CEA-956E-49CC-B444-73AFE593AD7F
受影响的realplayer版本号:
“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、
“Windows RealPlayer 10”、
“Windows RealOne Player v2 (6.0.11.853 - 872)”、
“Windows RealOne Player v2 (6.0.11.818 - 840)”
解决方案:这类病毒是攻击第三方软件漏洞传播,应该在杀毒完成之后,下载相应软件的最新版本,以修复相关漏洞。
5.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。
病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll(如byhfjm.dll)
%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%\{随机文件名}.sco(如byhfjm.sco)
%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%\svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer {代理地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
6.Win32.Troj.InjectT.gh.180736
升级毒霸到07.10.25.10版本即可查杀,病毒可通过网页挂马,或ARP攻击传播。很老的病毒现在造成大面积入侵,可能与下载器的行为有关。
查毒日志类似于
引用:
病毒 2008-03-11 22:43:46 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XFTMV4S6\29[1] Win32.Troj.InjectT.gh.180736 清除成功
7.Win32.Troj.OnLineGamesT.gr.2637
查毒日志类似于
引用:
Win32.Troj.OnLineGamesT.gr.2637
Win32.Troj.OnlineGamesT.zy.123185
Win32.Troj.Agent.ol.61440
Win32.Troj.OnlineGamesT.xy.44337
Win32.Troj.OnlineGamesT.gr.2637
问题补充:而且像中了Auto木马一样,双击打不开分区(昨天打开新浪网,突然就弹出一大堆网页,之后我就恢复了系统,IE没事了,但木马还在,分区也双击打不开,重要的是清除了之后还有)
病毒分析:
引用:
病毒类型:木马
文件大小:17836 byte
二、 病毒描述:
该病毒为盗号木马类,病毒运行后衍生病毒文件至系统文件夹,并删除自身。通过修改注册表增加启动项目进行开机启动。
三、 行为分析
生成文件:
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\upxdnd.exe
写注册表启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "upxdnd"
Type: REG_SZ
Data: C:\WINDOWS\upxdnd.exe
将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。
解决方案:
引用:
使用金山清理专家粉碎以下文件或升级到最新后查杀。
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\upxdnd.exe
然后使用清理专家删除以下残留的注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
upxdnd
8.Win32.Troj.RootkitT.k.16800
染毒日志类似于
引用:
win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys
病毒名称(中文):病毒保护伞16800
威胁级别:★★☆☆☆
病毒类型:黑客工具
病毒长度:16800
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个Rootkit,它的主要功能是保护其他的病毒文件
一、病毒简介
这个Rootkit主要有两个功能:
1、绕过SSDT挂钩反复写注册表
2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除
二、功能分析 - 绕过SSDT挂钩反复写注册表
Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,
ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)
的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。
三、功能分析 - 占用文件
Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32
\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。
Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表
启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到
的两个病毒文件。
9.Win32.Troj.AgentT.fm.14452
病毒分析:
病毒名称(中文):网游盗贼14452
威胁级别:★★☆☆☆
病毒类型:偷密码的木马
病毒长度:14452
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个网游盗号木马的变种,它盗取的游戏众多。它会强行关闭正在运行中的网络游戏,使得玩家不得不重新登录。这样,病毒便可趁机盗窃用户帐号。
1.病毒运行后,产生以下病毒文件(文件名不定)
C:\WINDOWS\system32\avzxest.exe
C:\WINDOWS\system32\avzxemn.dll
C:\WINDOWS\system32\avzxein.dll
c:\WINDOWS\Fonts\mszhasd.fon
2.将C:\WINDOWS\system32\avzxemn.dll添加到执行挂钩HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,以便随系统启动。
3.将C:\WINDOWS\system32\avzxemn.dll添加到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls,以便随系统启动。
4.病毒运行后,会删除自身,用户发现文件点击后消失。
5.修改注册表,禁用系统防火墙和自动更新功能。
6.不断地写2、3提到的注册表项,防止被删除。
7.关闭名为ElementClient.exe和TQAT.exe的游戏进程,以便让用户重新运行,趁机盗取用户帐号.
清除方案:
使用金山毒霸查杀或者用金山清理专家百宝箱中的文件粉碎器,将以下几个文件彻底删除。
c:\windows\system32\avzxest.exe
c:\windows\system32\avzxemn.dll
c:\windows\system32\avzxein.dll
c:\windows\Fonts\mszhasd.fon
重启后,再用清理专家修复注册表中的残留信息。
10.Win32.TrojDownloader.Agent.49152
这是一个木马下载器,升级到07年12月29日的版本即可查杀,该木马下载器可能是其它类似于磁碟机、AV终结者病毒的下载器download的产物。
查毒日志类似于
引用:
C:\WINDOWS\system32\jxz40cmy.dll中了Win32.Troj.DownLoaderT.np.139264病毒
C:\WINDOWS\system32\drivers\820p.sys中了win32.TrojDownloader.HmirT.a.25920
中木马下载器之后,往往会发现更多木马,建议使用金山清理专家和金山毒霸协同清除,如果你的杀毒软件被破坏,建议先下载金山毒霸提供的磁碟机/机器狗/AV终结者专杀来修复杀毒软件。
针对流行病毒的解决方案:
本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。
木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。
详情,请参阅:
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈()
参考资料:
为什么有些人要制造木马病毒啊?他们当时心里是怎样想的?
有些人制造木马是为了赚钱;有的纯属恶作剧,炫耀(心理有问题);有的是安全公司拿来测试的。
我们对那些制造木马病毒的人,有什么看法?
不 不同意楼下的看法 制造病毒的是心里问题 但变相的找到我们程序 系统 网络 硬件的BUG 这些人往往很聪明