本文目录一览:
- 1、下载木马“冰河”“NetxRAY”“ExeBind有危险吗
- 2、国产木马冰河2.2去那下载 谁有给我也行~!
- 3、冰河木马下载网址
- 4、听说过吗?“冰河”是什么东西啊?有什么用啊 ?
- 5、我中的是Trojan-Downloader.Win32.Agent.ben这个病毒,说是木马下载器.这个怎么办啊?
- 6、怎样下载木马“冰河”,和“NetxRAY”,还有 “ExeBind”?[冰河是一个远程监控软件,是BO一类的东西。]
下载木马“冰河”“NetxRAY”“ExeBind有危险吗
一般网上提供的病毒样本都是压缩包格式的(rar、zip等),下载这些病毒程序这个行为本身没有危险,只要你下载后没有执行里面的病毒文件就没危险。
“冰河”“NetxRAY”“ExeBind这些木马包含有服务端程序和客户端程序,客户端是黑客想办法在被黑的计算机上执行的程序,服务端是安装在黑客自己计算机上的,用来远程控制被黑的计算机。不要在你自己的计算机上执行木马客户端就是了。
国产木马冰河2.2去那下载 谁有给我也行~!
下面地址里面有冰河的全部版本!你自己看吧!我就不测试了,因为我的杀毒软件不想我这么干,呵呵!;Submit2=%CB%D1%21
补充!!在使用的时候可能要关闭防火墙,要不然部分杀毒软件会把他当成病毒木马给隔离了,这样你根本用不了。
冰河木马下载网址
你好兄弟,冰河木马已经过时了,以前的灰鸽子,冰河的确是疯狂一时的木马,,但随着电脑技术的更新,但作者没有对木马更新,,因为灰鸽子的作者坐牢了,所以现在没有人使用者款老马了,,现在主流使用的有GHost,,上兴,终结者,,,,等等他们都是一类软件,,不过你需要会免杀,,不然木马再好不免杀也做不了任何事情
听说过吗?“冰河”是什么东西啊?有什么用啊 ?
是一种中国人自己的编写的木马病毒。
用法:冰河木马教程
跨越冰河(冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马。)
准备工作
工具下载: 远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
软件发布:冰河v6.0GLUOSHI专版为2001年12月15日发布。
冰河原作者:黄鑫,冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫 *** 。
相关主页:
目的:远程访问、控制。
选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。
注明:冰河有多个版本,现在流行冰河8.0等,操作与介绍相同。
冰河之旅
一.扫描端口:放弃冰河客户端自带的扫描功能,速度度慢,功能弱!建议使用专用扫描工具。
运行X-way,操作如下:
点击"主机扫描",分别填入"起始、结束地址"(为什么? 因为--做事要有始有终,呵呵。顺便提示一下菜菜鸟型的:结束地址应大于起始地址)。
在"端口方式"的模式下选择"线程数"。(一般值为100比较合适,网速快的可选150)。最后进入"高级设置"-"端口"选择"ONTHER",改变其值为"7626"后进行扫描。
结果如下:
说明:上图IP地址的数字为我剪切处理过,参考价值不大。:)
二.冰河的操作:连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使
主要几代作品服务端图标的变化:其中新版冰河服务端大小为182K,客户端大小为451K
先不要乱动!认清G_Server它就是令网人闻风色变的服务端了。(冰河6默认的写字板图标就很好,使用前改个好点的名称即可,不一定要捆绑)
1.连接:打开瑞士军刀图标的客户端G_Client,选择添加主机,填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。(初始密码应该为空,口令有误是已被别人完全控制)直到终于出现:
注:3.1以下版本的万能注册码:(使用其他版本冰河时,填在右 *** 问口令里,应用后,连接)
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000! 仅供参考
2.控制:在文件管理器区的远程主机上双击+号,有C:D:E:等盘符出现,选择打开C:会看见许多的文件夹,这时我们就算已经踏入别人的领土,对于之一次入侵的朋友是不是有些感动?别急,我们对"养马场"的探索还未开始!
在C里你可以查找邮箱目录、 *** 目录、我的文档等有重要物品存放的区域,顺便了解一下他有什么不良爱好,呵呵。是不是有些收获,见到了你喜欢的游戏,下载?还是省省吧,远程的机器承受不了。
(如果在我的文档里看见JPG格式的文件,有兴趣的话你可以点右键下载下来看看是不是他MM的照片。:))
在文件管理区你可以对文件、程序进行以下主要几项操作:上传、下载、删除、远程打开。击鼠标右键看到
3.口令获取:口令类命令里可是有不少好东西的!如果你运气够好的话,你会找到很多的网站名、用户名和口令。有什么用?自己想去吧.......图中之一处抹黑的是上网帐号的密码,这可不能乱用喔。第2处抹掉的就是 *** 46581282的密码了,抹掉是因为我们现在只是做学习研究用,不是不法分子在搞破坏。:)
注:卸载冰河的 *** ,在命令控制台下的控制类命令-系统控制可以看到,点一下就可安全清除冰河。
4.屏幕抓取:照指示操作就行,我不喜欢用这个,抓图的速度慢质量也不好,那个控制屏幕也就顺便省了吧。
5.配置服务端:在使用木马前配置好,一般不改变,选择默认值。
细节注意如下:监听端口7626可更换(范围在1024~32768之间);关联可更改为与EXE文件关联(就是无论运行什么exe文件,冰河就开始加载;还有关键的邮件通知设置:
附:如在设置类命令-服务端配置里选择读取服务端配置,可以看到是控制者设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子查出是谁在黑你。(小心点好,别中了别人的借刀杀人之计)如下:
6.冰河信使的使用:也许这时候你还有兴趣和机子的主人聊聊,就用自带的冰河信使,是不是吓了他一跳?(不敢回答或关机逃跑了?)遇个胆大的你们也许聊的很投机,你作为他眼里的大虾是不是要表现一下?
告诉他:"不要怕。我,远程(神气的很)帮你杀毒好了!"呵呵,只要照图轻轻点一下,陡受惊吓的人是不是还会对你感激涕零? 恩,兴奋的神经慢慢冷却,是结束我们的这次友好访问的时候了。
其实冰河的基本操作就是这么简单,请熟练掌握它,以后你要接触的木马有6成与它的基本操作类似。
夜阑卧听风吹雨,铁马冰河入梦来。夜了,休息一下,养足精神再来继续我们的木马旅程。
冰河的几种清除 *** :
①:文中介绍的自卸载功能。
②:部分杀毒软件,(这个版本比较新,许多杀毒软件不能识别。推荐:升级过的KV3000等)
③:修改注册表。运行regedit,查找下面的键值。
之一步:删除相对的可疑键值。(不熟悉的朋友不要乱动)
第二步:重新启动时转到DOS下,删除冰河服务端(一般默认为"c:\windows\c_server.exe",会变更)这一步很重要。
最后: 重启计算机即可。
融化的冰河片刻消逝。
我中的是Trojan-Downloader.Win32.Agent.ben这个病毒,说是木马下载器.这个怎么办啊?
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过 *** 控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是 *** 神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在 *** 神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINESOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
SharedAccessParametersFiREWaLLpolicyStAnDaRDPrOFiLe
AUtHorizedapplicationsList
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
怎样下载木马“冰河”,和“NetxRAY”,还有 “ExeBind”?[冰河是一个远程监控软件,是BO一类的东西。]
亲,请不要传播木马病毒,更好别下载和使用木马哦!这样对你的电脑会严重损伤和破坏的,严重甚至系统瘫痪,如果你之前有使用和下载过此类木马和病毒,建议你使用腾讯电脑管家查杀,保证电脑的安全干净!
推荐使用腾讯电脑管家来保护您的电脑安全。腾讯电脑管家是国内首款集成“杀毒+管理”2合1功能的免费 *** 安全软件,腾讯电脑管家包含“杀毒、实时防护、漏洞修复、系统清理、电脑加速、软件管理”等功能。