当前位置:首页 > 网站入侵 > 正文内容

木马病毒会死人吗(木马病毒会传染吗)

hacker3年前 (2022-05-28)网站入侵62
本文导读目录:

请教:如果中了木马病毒会产生什么后果?

1、木马病毒是一种专门用来偷取用户资料的病毒.

2、不会破坏程序.但会把你的QQ密码.游戏帐号和密码.等发给编写病毒的人

3、可以用木马克星这个软件来查。(在网上搜索)

4、不要打开陌生的链接。不要轻易在网上下载文件。

5、无明显表现。只有你的QQ丢了。或者邮箱丢了。你才会发现。

6、可以杀木马的软件来杀。比如木马克星。噬菌体等。

杀不死的病毒,谁见过?

典型的DLL病毒

DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目,这是Loader的所在,只要杀了狼,狈就不能再狂了。而DLL木马本体比较难发现,需要你有一定编程知识和分析能力,在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL,可是对新手来说……总之就是比较难啊比较难,所以,最简单的方法:杀毒软件和防火墙(不是万能药,切忌长期服用)。

DLL木马检测与清除实例

守护者(NOIR—QUEEN)是一个典型的DLL木马程序,其服务端以DLL文件的形式插入到系统的Lsass.exe进程中。Lsass.exe进程是一个本地的安全授权服务,并且它会为使用Winlogon服务的授权用户生成一个进程,如果授权是成功的,Lsass就会产生用户的进入令牌。由于Lsass.exe是系统的关键进程,不能被终止,那么我们该如何清除这样的木马呢?

守护者木马入侵系统后,会在服务中添加一项名为“QoSserver”的服务,并将“QoSserver.dll”文件插入到Lsass进程中,使其可以隐藏进程并自动启动。我们利用“进程猎手”这样的工具查看Lsass进程所调用的DLL文件,并与木马入侵前的信息比较,可以发现Lsass进程中增加了“QoSserver.dll”文件。记录下该文件的具体位置,本例中为“C:\Windows\system32\QoSserver.dll”。

打开WindowsXP任务管理器,切换到“进程”选项卡中,结束“QoSserver.exe”进程,同时将系统目录下的“QoSserver.exe”文件删除。然后运行Regedit,在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver],直接删除“QoSserver”项,重启计算机。重启之后,再将系统目录下的“QoSserver.dll”文件删除。需要注意的是,如果前面未删除“QoSserver.exe”文件,而只删除了QoSserver服务并重启之后,插入到Lsass进程当中的“QoSserver.dll”又会生成另外一个名为“AppCPI”的服务。这时再次打开注册表编辑器,展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI],删除AppCPI项。如果QoSserver服务同时复活,则要将该服务的启动类型改为“禁用”。重新启动计算机后,再删除系统目录下的木马文件。

防范DLL木马

1.安装木马查杀工具。对于多数人而言,要想通过手工查杀DLL木马是不太现实的,因此安装一款可以查杀此类木马的反病毒软件,是非常有必要的。这里还要提醒读者的是,应及时升级病毒数据库,这样才能保证有效地查杀绝大部分木马病毒。当然,我们也可以在计算机中安装那些专门针对木马的查杀工具,例如木马克星。

2.查看是否有不明端口开放以及对端口通信进行监控。只要木马进行连接,接受/发送数据则必然会打开端口,DLL木马也不例外,我们可以通过“Netstat-ano”命令来查看TCP/UDP端口的连接,以及开放端口的进程标识符,也可以直接使用进程端口查看工具Fport.exe来查看与端口对应的进程,以发现是否有不明的连接和端口开放。另外,有些DLL木马通过端口劫持或者端口重用的方法来进行通信,所以仅是查看端口还是不够的,有必要的话,我们可使用嗅探器来了解打开的端口到底在传输些什么数据。

3.检查系统目录下是否有可疑的DLL文件。安装好系统和所有应用程序之后,可对系统目录下System32文件夹中的EXE和DLL文件作一记录:在命令提示符下执行“dir*.exebak1.txt&dir*.dllbak2.txt”,将所有的EXE和DLL文件信息导出成TXT文件保存。当日后发现异常时,可以使用相同的命令再次备份,并使用FC命令比较两次的EXE文件和DLL文件。通过这种方法,我们可以发现可疑的EXE和DLL文件,同时通过文件的大小、创建时间来判断是否为DLL木马。

4.查看系统进程调用的DLL文件。当我们怀疑有DLL木马插入到系统进程,可以使用一些第三方进程工具来查看进程所调用的DLL文件,然后进一步确认是否中了DLL木马。此类查看工具有进程猎手、进程间谍等等。另外,我们也可以使用XP系统自带的命令行工具TaskList,来显示进程调用的DLL文件,并将这些信息导出成TXT文件保存,以便随时进行比较。

但我们就要利用这种木马 因为他比较难查杀 所以~~~~~~~~~~~~~

DLL注入木马如是说

DLL库链接文件,是Windows系统中许多驱动和程序运行时必需的文件。一般来说,这类文件无法单独运行,必须通过某个EXE文件调用该DLL文件,从而执行相应的功能。同时,当该EXE文件正在执行时,调用的DLL文件无法被删除。正因为由于DLL文件具有隐蔽性,并且很难删除,因此目前许多流行的木马程序都采用了DLL文件方式进行安装,将木马DLL文件加载到某个正常的系统进程中,从而达到隐藏木马进程和保护木马文件的目的——这就是所谓的DLL注入式木马。

木马是如何将DLL文件进行加载的呢?这里我们以一个黑客常用的DLL木马“上兴远程控制木马”为例进行讲解。

运行“上兴木马”后,点击界面中“配置服务端”按钮,打开服务端生成程序。在“DNS域名解析更新IP”中输入自己的IP地址或者动态DNS域名,在安装名称中输入生成的服务端DLL文件名。木马运行后,该DLL文件将被注入到下面“宿主进程名”中指定的系统进程中,默认为“explorer.exe”。最后点击生成按钮,即可生成木马文件“rejoice_06.exe”。

将生成的木马文件传播,当其他用户运行后,就可以通过上兴木马远控客户端进行控制了。

警报,病毒无法清除

如果系统中被植入了DLL木马,将会出现什么情况呢?

首先,系统被黑客远程控制,出现数据丢失等情况;其次,杀毒软件会报警系统中有病毒,但是却无法进行清除。例如,在电脑中运行了上面制作的上兴远控木马后,笔者电脑上安装的杀毒软件提示发现病毒,但是在删除DLL病毒文件时却失败了。即使我们手工删除病毒文件,也会因为DLL文件正在使用中,所以也无法彻底删除。即使进入安全模式,得到的也是同样的结果。

另外,由于DLL木马是插入到系统进程中的,因此通过任务管理器等进程工具,也无法发现任何木马进程,这给木马的清除带来了很大的困难!

无法删除病毒文件,无法查找到木马进程,那么到底该如何清除DLL注入式木马呢?

无所遁形,揪出木马藏身之所

虽然木马没有自己的进程,但是有一个宿主进程,只要结束宿主进程,停止DLL文件的调用,就可以删除DLL文件,进而清除木马。因此,清除DLL木马的第一步,就是找到木马注入的宿主进程。那么,如何才能找到木马注入的宿主进程呢?且让我们细细看来。

以清除“上兴远控木马”为例,从杀毒软件的报警提示中已经知道木马DLL文件名为“rejoice.dll”。因此,就可以通过一些查看进程调用DLL文件的进程管理工具,找到该文件的宿主进程,此类工具很多,比如大名鼎鼎的ICESword。

运行IceSword后,点击左侧边栏“查看→进程”,就可以在其右侧窗口中看到所有进程列表。右键点击某进程,在弹出菜单中选择“模块信息”命令,即可看到该进程调用的所有DLL文件。

提示:DLL注入式木马通常是将DLL文件,加载到explorer.exe、svchost.exe、winlogon.exe、iexplore.exe等系统进程中的。因此在查找DLL宿主文件时,可以关闭其它无关的程序,然后依次检查这几个进程中的DLL文件。

不过一个一个的检查系统进程,确实有些麻烦,如何才能快速的定位木马的宿主进程呢?可以使用一款名为“procexp”的进程管理工具。运行procexp后,在程序界面中间显示的是树状进程关系列表,下方是每个进程的详细信息。点击菜单“Find→Find DLL”命令,打开DLL文件查找对话框,在“DLL Substring”中输入要查找的关键词,这里输入刚才杀毒软件扫描出的DLL文件名“rejoice.dll”。然后点击“Search”按钮,在下方的列表中就可以看到该DLL文件是被哪个进程调用的了。

牛刀小试,清除普通进程DLL注入木马

对于大部分DLL注入木马,其注入到“iexplore.exe”和“explorer.exe”这两个进程。对于这类普通进程的DLL木马,清除将是非常方便的。

如果DLL文件是注入到“iexplore.exe”进程中,由于此进程就是IE浏览器进程,因此就需要先关掉所有IE窗口和相关程序,然后直接找到DLL文件进行删除就可以了。

如果DLL文件是注入到“explorer.exe”进程中,那么就略显麻烦一些。由于此进程用于显示桌面和资源管理器,因此,当通过任务管理器结束掉“explorer.exe”进程时,桌面无法看到,桌面上所有图标消失掉,"我的电脑"、"网上邻居"等所有图标都不见了,同时,也无法打开资源管理器找到木马文件进行删除。怎么办呢?

实际上,解决的方法也很简单。在任务管理器中点击菜单“文件→新任务运行”,打开“创建新任务”对话框,点击“浏览”按钮,通过浏览对话框就可以打开DLL文件所在的路径(如图4)。然后选择“文件类型”为“所有文件”,即可显示并删除DLL文件了。

在浏览对话框中删除DLL文件

除恶务尽,清除特殊DLL注入木马

除了以上所说的注入普通进程的DLL木马之外,还有许多木马注入到系统里关键进程中,比如svchost.exe、smss.exe、winlogon.exe进程。这些进程使用普通方式无法结束,使用特殊工具结束掉进程后,却又很可能造成系统崩溃无法正常运行的情况。对于这些木马,我们可以通过以下两种方法进行清除。

1.使用IceSword卸载DLL文件

IceSword的功能十分强大,我们曾在以前作过介绍,在这里,就可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中,右键点击DLL木马宿主进程,选择弹出命令“模块信息”。在进程模块信息对话框中找到DLL木马文件,选择文件后点击“强制解除”命令,即可将系统进程中的DLL木马文件卸载掉了

卸载系统进程中的DLL木马

2.SSM终结所有DLL木马

使用IceSword可以卸载大部分的DLL木马文件,但还有某些特殊木马在卸载时,却会造成系统崩溃重启。例如一款著名的木马PCShare采用了注入“winlogon.exe”进程的方式运行,由于该进程是掌握Windows登录的,因此在使用IceSword卸载时,系统将会立即异常重启,根本来不及清除掉DLL文件,在重启后DLL木马又被再次加载。对于这类DLL木马,必须在进程运行之前阻止DLL文件的加载。接下来,我们又要用到一款用于阻止DLL文件加载的安全工具——“System Safety Monitor”(简称SSM)。

提示:SSM是一款俄罗斯出品的系统监控软件,通过监视系统特定的文件(如注册表等)及应用程序,达到保护系统安全的目的。这款软件功能非常强大,可以辅助防火墙和杀毒软件更好的保护系统安全。

运行SSM,在程序界面中选择“规则”选项卡,右键点击中间规则列表空白处,选择“新增”命令,弹出文件浏览窗口,选择浏览文件类型为“DLL files”,在其中选择指定文件路径“C:\Windows\system32\rejoice.dll”。点击“确定”按钮后,即可把“rejoice.dll”文件添加到规则列表中,然后在界面下方的“规则”下拉列表中选择“阻止(F2)”。完成添加规则设置后,点击“应用设置”按钮,后重启系统。

阻止DLL文件加载到进程

提示:在重启系统前请检查SSM的设置,确保SSM随系统启动而加载运行。

当系统重启时,SSM就会自动阻止相关进程调用“rejoice.dll”木马文件。这样,该木马文件便不会被任何程序使用,在硬盘中找到它,直接删除即可。

雁过无声,清除木马残留垃圾

DLL注入型木马并不会感染其它文件,只要结束木马进程并删除掉病毒文件木马,木马就没有任何危害性了。剩下的工作就是清除掉木马在注册表和其它启动文件中留下的项目。方法很简单,点击“开始→运行”,输入“regedit”命令,就会打开“注册表编辑器”,利用搜索功能,便可以清除木马在注册表中留下的垃圾;输入“mscnofig”命令,就可以打开系统配置实用程序,清除木马在启动文件中的踪影。

编后:木马选择注入的系统进程也不尽相同。在碰到此类木马时,我们可以首先考虑用procexp之类的工具,查找出DLL文件的宿主进程。找到宿主进程后,如果是注入到普通可结束的进程中,可以直接将宿主进程终止后删除DLL木马文件即可。如果DLL文件是注入到系统关键进程中的话,可以考虑用IceSword卸载DLL文件;如若失败,那么直接用SSM建立规则,阻止DLL文件的加载就可以了。

木马病毒有什么危害?

木马病毒的危害:

通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。

“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;

“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。它是指通过一段特定的程序(木马程序)来控制另一台计算机。

木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。

电脑中木马病毒了,会有什么后果?

木马程序的危害是巨大的,它使用户的计算机随时暴露于黑客的控制与监视之下,黑客们可以利用木马程序建立的后门轻易窃取用户数据并传输到指定的计算机中,这较之传统的病毒只能破坏用户数据的危害又大了许多。因此,有效地检测与清除木马程序对保障计算机安全有着重要意义。

感染“木马”的典型症状在使用计算机的过程中如果您发现以下现象,则很有可能是感染了“木马”:计算机反应速度明显变慢硬盘在不停地读写键盘、鼠标不受控制一些窗口被无缘无故地关闭莫名其妙地打开新窗口网络传输指示灯一直在闪烁没有运行大的程序而系统却越来越慢系统资源占用很多运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)在关闭某个程序时防火墙探测到有邮件发出密码突然被改变,或者他人得知您的密码或私人信息文件无故丢失,数据被无故删改“木马”防范随着互联网的迅速发展,木马的攻击、危害性越来越大。木马程序虽然有着这样那样的破坏和隐蔽手段,但实质上仍是一种计算机程序,必须运行后才能工作,因此会在内存、注册表、系统目录中留下蛛丝马迹,我们可以通过“查”、“杀”将其“缉拿归案”。我们可以安装个人防病毒软件、个人防火墙软件;及时安装系统补丁;对不明来历的电子邮件和插件不予理睬;经常去安全网站,以便能及时了解一些最新的信息。当然用户还可以选用集查杀、监控、管理、升级于一体的专业级木马查杀工具--木马防线,它不仅可以查杀木马及其他恶意程序,还可以用内置的木马防火墙封堵计算机端口,全面保护计算机。

下面简单介绍一下:Trojan(特洛伊木马),Trojan(特洛伊木马)种类繁多、行为特征复杂。

Trojan.Bomb:以此为前缀命名的木马,可删除用户文件或者破坏扇区信息,导致用户文件丢失,系统不能启动等问题。Trojan.psw:以此为前缀命名的木马是盗取用户密码的窃贼,它们可以窃取用户系统密码或者email、icq、oicq等密码,并把密码发送到指定信箱,或者irc频道等等。Trojan. 频道中的后门脚本。Trojan. 频道中的后门脚本。Trojan.Dropper:木马捆绑和伪装工具,可以把木马绑定到其它文件上。Hacktool(黑客工具)许多黑客工具并不破坏被入侵机器本身的数据,但它可以通过机器攻击或者扫描其他用户的机器。以下介绍几种不同的黑客工具。DoS:拒绝服务攻击工具,攻击者可以通过远程控制的方法操纵用户计算机系统攻击其它节点。DDOS:分布式拒绝服务攻击工具,可以从多个节点攻击一个目标,导致目标瘫痪。Flooder:采用洪水包淹没目标IP,导致该节点瘫痪。Backdoor(后门)以Backdoor为前缀命名的Trojan(特洛伊木马)被称为远程控制木马,这是一类比较常见的有害程序,它包括服务器端和客户端。服务端寄生在被入侵的机器上,打开某一个或者多个端口,等待客户端的连接。一些公共场所的机器可能被“种植”后门工具的服务器端,用户也可能从mail、icq、msn、oicq或者mIRC中,收到攻击者传输来的服务端程序。有些后门工具并没有特殊的客户(控制)端,它们其实悄悄在被入侵的机器上开放web、telnet或者ftp服务,从而盗取用户资源。Worm(蠕虫)Worm(蠕虫)是一种通过电子邮件、IRC、mIRC或者其它网络途径,具有自我复制能力的有害程序。I-worm:也被称为网络蠕虫,它通过email或者ftp、web服务进行传播。IRC-worm:通过IRC频道传播的蠕虫。mIRC-worm:通过mIRC频道传播的蠕虫。

木马和蠕虫病毒怎么会是09年最严重的灾难之一呢?

所以是之一,而不是唯一。

木马病毒窃取个人账户信息是小,感染到政府军队系统中那危害就严重了,窃取国家机密比死人还严重的。

自然灾害是局部的,突发性的,来的快去得也快,但是木马病毒就是更新快变化快,无穷无尽,连绵不绝的,为社会带来的经济损失不比自然灾害少的

木马的危害?

能杀哦

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出,捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。

木马病毒的主要危害

我只能大致说下,因为这个也是要看病毒的类型来说。

1、电脑出现异常,如黑屏、蓝屏、死机、文件打不开等等

2、占用资源。有不明文件占用空间等

3、电脑速度变慢,变卡

4、帐号丢失

一般情况下,轻的会经常弹出一些网页,拖慢网速;稍重的则会修改你的注册表,使文件无法正常使用;更严重的甚至会造成你的硬盘格式化,机器瘫痪。

【平时就应该保护好我们的电脑,给一些建议】

1、安装杀毒软件还是必要的,要及时更新病毒库,还要装防火墙(防木马、黑客攻击等),定期杀毒,维护好电脑运行安全;

推荐楼主可以安装腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!

其中软件升级、漏洞修复、垃圾清理,都有自动和定期设置,懒人必备

2、修复漏洞和补丁;打开腾讯电脑管家——工具箱——漏洞修复

3、平时不要上一些不明网站,不要随便下载东西;

4、还要提防随身移动存储设备(如U盘等,最近U盘病毒挺猖獗的);

5、不进不明不网站,不收奇怪邮件。下载完压缩包文件后先进行病毒扫描

6、关闭不必要的端口

7、要是有时间和精力的话,学一些电脑的常用技巧和知识;

最后,我要说的是,你要是平常的确是很小心,但还是中毒的话,那也是没办法的!(用Ghost备份系统是个不错的选择)

分享给朋友:

评论列表

北槐岁吢
3年前 (2022-05-28)

.exe”文件删除。然后运行Regedit,在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver]

晴枙怀桔
3年前 (2022-05-28)

PI”的服务。这时再次打开注册表编辑器,展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI],删除AppCPI项。如果QoSserver服务同时复活,

世味雾月
3年前 (2022-05-28)

Sserver.dll”。 打开WindowsXP任务管理器,切换到“进程”选项卡中,结束“QoSserver.exe”进程,同时将系统目录下的“QoSserver.exe”文件删除。然后运行Regedit,在注册表编辑

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。