木马病毒真相（木马病毒案例）-24小时接单的黑客

这种病毒并不是利用 *** 本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助 *** 进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到更高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用 *** 向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

*** 收到信息如下：

1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。

2. 呵呵，其实我觉得这个网站真的不错，你看看http://www.ktv***.com/

3. 想不想来点摇滚粗口舞曲，中华 DJ 之一站，网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。

4. http//www.hao***.com 帮忙看看这个网站打不打的开。

清除 *** ：

1．在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在 *** 后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2．安装系统漏洞补丁

由病毒的播方式我们知道，“ *** 尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

二. *** “缘”病毒

病毒特征：

该病毒用VB语言编写，采用ASPack压缩，利用 *** 消息传播。运行后会将IE默认首页改变为：http://www.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

病毒会利用 *** 发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”；“1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心， *** 是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你 *** 上的好友!”等消息，消息里的链接是病毒网址。

清除 *** ：

使用了下面的办法将其彻底删除。

找到下列文件:

C:\windows\system\noteped.exe

C:\windows\system\Taskmgr.exe

C:\Windows\noteped.exe

C:\Windwos\system32\noteped.exe

删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉

注意:有两个名字叫"Taskmgr.exe"进程,一个是 *** 病毒,一个是你刚才打开的"Window 认为管理器"然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 删除

如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

1.在任务栏上点击鼠标右键，选择任务管理器

2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

3.点击开始-运行，输入Regedit进入注册表

4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，将Taskmgr"项删除"。

删除后重启计算机，《缘》 *** 病毒宣布彻底删除。

另外提醒大家，尽快更新你的IE到IE6 SP1（立即下载）这样可以减少很多的IE被改机会。

三、“ *** 狩猎者”病毒

病毒特征：

1、在进行 *** 聊天时会在消息中加入信息"向你介绍一个好看的动画网： http://flash2.533.net "

2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件 b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中，文件名为"b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。

3、复制文件:

A、复制病毒体到 %SystemRoot% 文件夹中，文件名为"Rundll32.exe"；

B、复制病毒体为 "C:\cmd.exe";

C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联

A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值：默认="C;\cmd.exe %1 *"

B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值：默认="""%1"" %*"

C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值：默认="""%1"" %*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sin *** "的名义发送到"scm *** j@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载.

清除 *** :

A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能；

B、重新启动到安全模式下；

C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1" %*"，再删除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。对于Win9x系统，还要删除%SystemRoot%\Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件，文件大小为11184字节，如果有，将其删除。

D、清理注册表:

打开注册表，删除主键 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的键值为 "%1" %*

防范措施：

不要轻易点击 *** 上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

四、“武汉男生”病毒

病毒特性：

此病毒是“武汉男生”的一系列新变种，病毒发作后会利用 *** 聊天工具进行传播，定时给 *** 网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

该变种较明显的特点是，病毒运行后，除定时发给 *** 网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器；

(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具；

(3)每隔一段时间给 *** 网友发送信息

(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：

“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\windows；c:\winnt 等。

(5)修改文本文件（*.txt）关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。

(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

清除病毒

1、删除病毒在系统目录下释放的病毒文件

2、删除病毒在注册表下生成的键值

3、运行杀毒软件，对病毒进行全面清除

五、“爱情森林”病毒

（一）病毒特征

该木马程序原始文件名为hack.exe，用Delphi编写，并用UPX进行了压缩。木马程序被运行后会：

1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）

3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe，

并执行下载下来的程序，进行其它的破坏活动。

清除 ***

(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

（二）变种一病毒特征

该病毒运行后会：

1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe"，使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。

4、该木马会通过 *** 程序向其它的 *** 用户发送“http://sckiss.yeah.net，你快去看看”

的消息，诱导用户浏览含有恶意代码的网页。

5、该木马还会尝试盗取 *** 用户的密码并将其发送至指定的邮箱。有趣的是，由于病毒作者使用了一个组件来发送邮件，因此当木马程序执行发送邮件的操作时，该组件可能会弹出两个对话框，其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”，另外一个对话框为“Cannot open file .mima.txt”。

清除 ***

(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。

(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。

(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

(4)若根目录下存在文件setup.txt或mima.txt,将其删除。

（三）变种二病毒特征

该木马程序被包装在一个名为s.eml的邮件中，并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时，邮件中的木马程序（Hack.exe）就会自动运行。

木马程序被运行后会：

1、复制自身到Windows系统目录（通常为windowssystem）下，改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会使用户误认为这是一个正常的系统文件。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）

3、该木马程序会通过 *** 的“发送消息”窗口给 *** 用户的网友发送如下信息“http://ajim.delphibbs.com去看看，很好看的”，

当用户点击该网址浏览时，木马程序就会被再次激活，从而使该木马通过 *** 聊天工具不断地传播自己。

清除 *** ：

(1)打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

（四）变种三病毒特征

该病毒运行后会：

1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。

3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。

4、修改注册表，修改IE浏览器的默认页，开始页，起始页。

5、该木马会通过 *** 程序向其它的 *** 用户发送“http://ontimer.spedia.net，你快去看看”

的消息，诱导用户浏览含有恶意代码的网页。

6、该木马还会尝试盗取 *** 用户的密码并将其发送至指定的邮箱。

清除 *** ：

(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。

(2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。

(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

(4)恢复IE的设置。打开注册表编辑器，恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。

（五）变种四病毒特征

该木马程序用Delphi编写，并用UPX进行了压缩，但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的之一个版本相同的特征，因此极有可能是病毒作者对“爱情森林”的之一个版本重新编译后生成的。木马程序被运行后会：

3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe，

并执行下载下来的程序，进行其它的破坏活动。

清除 ***

(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值

六、“ *** 女友”病毒

病毒特征：

利用 *** 发送诱惑信息，导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友，致使不明真相的用户上当。

1.复制自己到系统目录：

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注册表键值病毒自启动的伎俩：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

3.病毒运行后将建立一个HTTP服务器，监听TCP端口20808

该功能将响应远程的下载请求，将本地的病毒文件复制到远程机器。

4.病毒搜索 *** 聊天软件，向在线的好友发送诱惑信息，内容如下：

“你是那样地美，美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。

留给我印象最深的是你那双湖水般清澈的眸子，以及长长的、一闪一闪的睫毛。

像是探询，像是关切，像是问候……………………

这是你需要的东西:

下载地址1

http://*.*.*.*：:20808//%DRIVE%c:\\filename.exe

下载地址2

http://*.*.*.*：:20808//%DRIVE%c:\\filename.exe”

其中*.*.*.*为本机地址，%filename%为下列之一：

"c:\setup.exe"

"c:\hello.exe"

"c:\flash.com"

"c:\123456.exe"

"c:\pass.exe"

"c:\game.exe"

"c:\my_photo.exe"

"c:\update.exe"

"c:\mp3.exe"

"c:\666666.exe"

这些都是病毒本身。

5.鉴于该病毒的特殊性，尤其是女性的使用 *** 的用户，请看到上述信息时请不要上当。

清除 ***

（1）打开任务管理器查看是否存在进程名为: INTERNET.EXE或SVCH0ST.EXE,终止它

（2）打开注册表编辑器,删除如下键值如果存在的话:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

（3）将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除

注:%WINSYS%位Windows系统的安装目录，在win9x,winme,winxp下默认为:C:\WINDOWS\SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。

什么是木马？？？？？

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原理篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的 *** 载体。

(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的 *** 地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

木马原理

用木马这种黑客工具进行 *** 入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑 *** 用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， *** TP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立连接，具体的连接 *** 我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的。一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的 *** 主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端 *** 连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

什么病毒能使电脑不能玩梦幻西游这么的 *** 游戏

br男友怎天玩梦幻西游这个游戏，好烦啊～～不想他花在游戏上的时间那么多。怎么能够在他不察觉的情况下，让他不能玩游戏。病毒或者是某种设置。

br设置防火墙，太明显了吧～就是让他奇怪“怎么玩不了啊"就是了～呵呵～～

黑色蓝天的答案真的好血腥……

提问者：一只狐狸611 - 见习魔法师三级

答复共 50 条

这倒不知道

但是我知道解决办法

就是从装系统....

回答者：cs4488 - 魔法师四级 5-16 16:14

只是这个游戏不能玩吗？

楼主，把问题说清楚点啊

回答者：k5418k - 门吏二级 5-16 16:17

想要不能玩梦幻西游等 *** 游戏办法有很多

防火墙可以设置禁止游戏运行

可以屏蔽游戏端口（屏蔽后可能其他好多程序也无法运行）

你是不是自己机器上有游戏，不想让别人玩，又不好删掉啊，呵呵，你可以把游戏里面比较重要但是又不起眼的关键程序删除一两个（别删exe文件，太明显了）

回答者：akira1119 - 见习魔法师二级 5-16 16:18

可以把梦幻西游御卸,在重新下个客户端,试下

回答者：oliver5505 - 试用期一级 5-16 16:19

你那有杀毒的软件吗??把"梦幻西游"隔离起来

回答者：T_Mac微笑 - 助理二级 5-16 16:58

用灰鸽子可以把他的号码消掉..或者用熊猫烧香..把梦幻的IE运行器修改.就不可以玩了..不过不知道可不可以哦

回答者：xqdzhangshiyu - 童生一级 5-16 19:10

随便进入梦幻西游的文件夹里面，任意删处几样东西那样就不可以玩梦幻勒，但是他会重装以外

回答者：dwa___dwa - 试用期一级 5-17 16:23

最简单一个办法断网

回答者：a3557333 - 秀才二级 5-18 19:38

去文件夹里，随意删除一两个文件就行了，彻底的断绝是不可能。

或是把端口蔽了，要是想玩游戏，你怎么弄都没用。

家里不能，网吧照样可以吧，还不如好好谈谈实际些。

隐瞒他，日后知道了，说不定还会怪你，到时候还出现误会，不划算。

回答者：mars19880729 - 试用期一级 5-18 23:02

用 *** 爸爸准行

回答者：777399 - 试用期一级 5-19 09:04

木马病毒一定行！我试过了。

回答者：fajenna - 见习魔法师二级 5-19 09:51

ggyguyguy

回答者：cs442910916 - 试用期一级 5-19 11:07

用防火墙禁止游戏进行`

回答者：jayallen5201 - 魔法学徒一级 5-19 12:22

*** 爸爸

回答者：331981311 - 试用期一级 5-20 12:31

用金山毒霸中的金山网膘把它禁止

回答者：张小子19 - 魔法学徒一级 5-20 13:05

盗号

回答者：火箭不会失败 - 试用期一级 5-20 15:22

你知道他的帐mi吗?问到物品琐.盗掉所有的宠和装备.将他们放进另外一个号里.然后过了几个月后告诉他真相,并把你的心情和想法告诉他,我想他会理解你的.

回答者：kilio5202 - 试用期一级 5-20 17:18

梦幻有专门的防病毒程序．．更好的 *** 是．．把主文件几个重要文件删掉．．文件有WDF的文件全删．．就差不多了．不过他绝对会重新下载的．．．更好是当他摆滩休息的时候．把他身上的东西全放掉．．在把家里的电源总开关按下去，就别在按上来．．这样到时他以为家里漏电防护开关自动切断电源．而在上梦幻东西全没了．也不知道是你干的．．．失去梦幻物品就需要大量人民币支持．．然后你天天抓他上街．不去就分手．．不行找我

回答者：黑色蓝天 - 试用期一级 5-20 18:40

用将军令绑他的号，他没有将军令动态密码，就上不到了，买1个将军令才38块，可以绑多个，他开1个绑1个，超便宜

回答者：笨笨小熊熊 - 见习魔法师二级 5-20 22:20

更好不要用病毒.你可以好好和你男朋友说..病毒的危害很大的...哪怕你真的把电脑弄到病毒了..你男朋友以后出去上网..去网吧..整天不回家..这不更不好~~~所以你可以好好和你男朋友谈谈..你也可以去玩这游戏..让你男朋友在上面依耐你..你不想玩了..你男朋友可能也会觉得没意思了..~~这也是个人想法..希望能帮到你...但是用病毒是不对的..可能你电脑会瘫痪..隐私文件暴光~~~难道你想让他天天在网吧玩吗?

回答者：jiumingaiyz - 试用期一级 5-21 12:12

虽说用木马太卑鄙了，但十分的可行。用将军令的话只能绑5个帐号！！也可以用防火墙来封！！

回答者：匿名 5-21 18:47

一般是震荡波

回答者：25st - 秀才二级 5-21 19:47

恩，我觉得把。你该与你男友多沟通一下把。或者你也试试玩玩这款网游，很不错的。虽然是收费的，但是15元钱有50小时的游戏时间。比起那些“免费”网游好多了（特别BS劲舞，超舞，那么贵的道具，衣服）并且你还可以在游戏里和你的男友结婚，很有感觉的。

不论怎么说，用病毒这种 *** 是无法收住你男友的心的，要是被他发觉，还有可能物极必反哦！

劝你不要这样做，免伤和气，对吧？

回答者：michael910321 - 试用期一级 5-23 13:55

既然无法阻止为何不和他一起玩呢我推荐你玩呢里面画面很可爱的和适合MM 而且里面MM的门牌也很多而且人物也很漂亮还可以在里面结婚和生孩子和你男朋友一起玩吧~~~~（不要砸我^O^)

回答者：我不是方成 - 试用期一级 5-23 22:56

饿我觉得吧,我也在玩这个游戏,感觉上觉得几好玩什么都很好玩,你不如也跟你男朋友一起玩吧,几好玩噶,你也不必要不让人玩吧

在家上网偶尔中了木马病毒网游和 *** 的帐号密码会被盗吗?

有被盗的可能,木马有很多种,有的专门盗取游戏帐号,有的盗取 *** 帐号,还有的木马可以把你的电脑变成肉鸡,但是不管你中的木马是否会盗你的帐号都要清除该木马,因为那必定不是什么善意的程序.

建议:下载清除木马的软件,清除后立即更换你的网游或 *** 等系列密码

1、什么是木马？

荷马史诗中描述一位名为Hellen的希腊皇后被风流倜傥的特洛伊王国的王子巴德里诱骗回国，于是希腊国王派兵攻打特洛伊城，此番战争打了十年，却始终无法攻陷特洛伊城，于是想出一条计策， *** 一匹大木马，里面藏满全副武装的士兵，留下木马后徉装撤退，特洛伊人果然上当，以为希腊人已退兵，当晚就便把木马拉进城中，打算来一个欢天喜地的庆功宴。谁知，就在大家兴高采烈喝酒庆功之际，木马中的精锐部队早已暗中打开城门，一举来了个里应外合的大抢攻！顿时，一个美丽的城市变成了一堆瓦砾、焦土、毁灭于历史中……。此即著名的特洛伊战争，也就是木马屠城记，亦称特洛伊木马(Trojan Horse)的典故。

我们所要谈的当然不是这个希腊故事，但我们要谈的木马(也称“特洛伊木马”)，原理跟这个故事差不多(所以称之为木马啦！)。所谓的木马程序其实就是一种远程控制程序，它会有一个Client(客户)端程序(由发木马的人控制)，一个Server(服务器)端程序给不明真相者运行，只要同时在线就能通过Client端程序来控制对方的计算机。其做法也就是首先把木马伪装成有用的程序，通过和其他应用程序(比如外挂)结合，或是和图片、声音结合，然后诱惑你下载或直接寄给你，当你运行后，木马就会在每次开机时自动运行，对方就通过木马在你电脑中打开的一个秘密端口(port)用Client端连上你的电脑。

2、木马不是病毒

木马和病毒的根本区别是木马程序没有复制能力，而病毒会复制、传染。木马入侵后会地为你修改注册表、放置后门程序(也就是打开一个port)、开机驻入内存，但是不会马上发作，电脑也依旧平静如初，然而是一颗随时可能引爆的炸弹。

4、木马的功能与作用

不管以前你认为木马有多么神秘，其实木马程序就是一个 *** 上的Client/Server的概念。以下简单介绍一些木马程序的功能：

1、远程监控

可以控制对方的鼠标、键盘和监视对方屏幕。

2、记录密码

至于如何记录，下面再具体解释。

3、取得电脑主机的信息资料

如果你在电脑用户账户填上真名的话，对方就可能知道你的姓名了。

4、远程控制

也就是你能做到的，对方也能做到。

5、发送信息

要是对方哪天想和你聊聊的话。

5、木马是如何盗号的

当用户登陆到九城的服务器时，会有一个专门的程序负责用户登陆并向服务器发送确认ID的请求(具体在哪个文件我不知道)，显然，在这个程序中包含了用户账号密码的资料，那么，针对为盗取MU用户ID而设计的木马程序先会截取这个文件，再由木马程序来显示那个登陆界面，等你输入了帐号密码后，HOHO~~，木马就偷到了，然后按照入侵者的指定存放在某个目录下(可见，仅仅阻止非法邮件发送还是防不胜防的)，或者直接寄回给入侵者(目前此法较多，大家可以通过禁用stmp端口??负责发送邮件的port来防范)。

6、木马如何进入我们的电脑

小偷要到你家偷东西，一般不会走正门，而是选择通过阳台、窗户进入。这里的“正门”指你电脑的IP地址，“阳台、窗户”就是电脑上网开启 *** 服务的端口(port)。如果把 *** 形容为道路的话，端口就相当于路上的各条行车道，有的走汽车，有的走自行车，有的只能行人，这样网路上运行的有秩序，不会乱。那么除了我们常用的http、stmp、pop3、ftp等服务端口，电脑“黑客”会通过木马直接在你的电脑上放置一个后门程序(Backdoor)，只要你运行了这个程序，你的电脑已经是为“黑客”开启了一道大门。于是，他就可以通过这个大门大摇大摆地进来。

7、如何检查和清除木马？

并不是所有的木马程序都能被杀毒软件检测到，即使是扫除木马的工具也只能扫除一些常见的木马而已，最主要的防止 *** 就是预防。对于MU玩家来说，就是要格外小心外挂程序，因为许多外挂程序都藏匿了木马。避开木马的更好 *** 就是不用外挂。

另外，还要注意以下几点：

1.小心exe文件

小心一些扩展名为.exe的文件(更好解除隐藏扩展名的设置， *** 为：在资源管理器中选择“查看”选项，解除隐藏扩展名的设置)，因为木马程序的扩展名一定是“.exe”。

2.用netstat -a来查看端口

端口是木马的生命之源，没有端口它就无法和外界通信，更不要说远程控制了。先切换到MS-DOS方式，在C：提示符后键入netstat -a就可以将当前电脑中所有连接端口的情况列出，如果发现有异常的端口开启，就很有可能是一个“后门”。

3.检查注册表和系统文件

由于木马有开机后自动运行的特性，而自动运行就必须在系统中作一些更改，这些更改一般在注册表和系统文件中可以发现。检查Registry-Run，“开始”→“运行”，键入regedit，进入注册表编辑器，到HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun中查看是否有不应该自动运行的程序，有的话就要删除那些字符串，木马程序就不能自动运行了。

检查Win.ini,用记事本打开C:Windowswin.ini这个文件。其中“load= run=”后都应为空，如果有run=xxxx.exe，就尽快删除它们。

检查system.ini,用记事本打开C:Windowssystem.ini。检查shell=Explorer.exe后有没有xxx.exe,有的话就很可能是木马，删！

4.通过一些防木马软件比较有名的防护程序有：Tauscan,Lockdown2000,Pview,NetSentry等等，大家看着用吧

我的手机中病毒了

手机中毒应该很多人都遇到过这种情况，我们可能是下载什么软件或者进入了什么木马网站导致手机中毒的发生，但是手机中毒的情况还是分很多种的，比如说比较好杀的毒，可以安装杀毒软件进行扫描、杀毒，如果是不能杀的毒可以格式化存储卡、硬格或者软格都行。像平常的预防手机中毒也是很重要的，比如说木马网站等等，所以说要学会预防病毒的侵入。

*** /步骤

4/4 分步阅读

首先手机数据线连接电脑，但是电脑一定要装杀毒软件的，如果说360安全卫士、瑞星杀毒软件等等都可以；

2/3

手机连接电脑后进行病毒的查杀工作；

3/3

电脑检测到病毒后，进行杀毒病毒清理就可以了；

*** 二/软格

1/3

首先将手机开机，输入*#7370#；

展开长图

2/3

然后会让你输入初始密码，初始密码一般是：12345，一般情况下都是这个密码的；

展开长图

3/3

然后点是，将手机恢复出厂模式，这样的话手机存在的病毒也能够被清理掉了；

展开长图

*** 三/硬格

1/4

首先将手机关机，在开机的界面同时按住拨号键、“*”键、“3”键；

2/4

打开电源直到出现开机的界面，一定要注意的是这个过程是不能松开任何一个按键，小心出现硬格不成功哦；

3/4

稍稍等几秒直至出现“Formating……/”字样，这时方可松开按键；

4/4

等个几分钟后系统格式化完成，手机自动重启并进入待机画面，重新输入手机时间；

注意事项

手机中病毒不是太严重，可以尝试将存储卡格式化即可，因为很多是因为下载软件导致中病毒，所以说可以将存储卡格

« 2024年5月 »
一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

24小时接单的黑客

黑客接单,黑客教程,黑客技术,黑客找黑客,技术黑客