24小时接单的黑客

Trojar-psw.win32.delf.qc木马程序有何危害?

Trojan-PSW.Win32.Delf.qc分析

病毒标签：

 病毒名称： Trojan-PSW.Win32.Delf.qc

病毒类型： 木马

文件 MD5： CAA66210E00A4C5A78A73A9588671671

公开范围： 完全公开

危害等级： 3

文件长度： 22,964 字节

感染系统： windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

命名对照： BitDefender [  Generic.PWStealer.855706A3 ]

病毒描述：

  该病毒属木马类，病毒运行后衍生病毒文件到系统目录下，连接 *** ，下载病毒文件到本地运行，修改注册表，添加启动项，以达到随机启动的目的，该木马下载的病毒均为盗取 *** 游戏及 *** 的账号与密码的木马。通过 HOOK 系统函数，隐藏病毒进程。

行为分析：

 1 、病毒运行后衍生病毒文件：

%Temp%\c0nime.exe

%Temp%\Gjzo0.dll

%Temp%\iexpl0re.exe

%Temp%\LgSy0.dll

%Temp%\qq.exe

%Temp%\upxdnd.dll

%Temp%\zt.exe

%Program Files%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp

%Program Files%\Common Files\Microsoft Shared\MSInfo\system.2dt

%Program Files%\Internet Explorer\PLUGINS\system2.jmp

%Program Files%\Internet Explorer\PLUGINS\System64.sys

%WINDIR%\cmdbcs.exe

%WINDIR%\mppds.exe

%WINDIR%\mscct.exe

%system32%\cmdbcs.dll

%system32%\drivers\npf.sys

%system32%\fpsini.dll

%system32%\gdipri.dll

%system32%\mppds.dll

%system32%\mscct.dll

%system32%\Packet.dll

%system32%\systemm.exe

%system32%\WanPacket.dll

%system32%\wpcap.dll

2 、修改注册表：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

键值 : 字串 : "c15vri220"="%Temp%\c0nime.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

键值 : 字串 : "dvzmsw"="%Temp%\iexpl0re.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值 : 字串 : "cmdbcs"="%WINDIR%\cmdbcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值 : 字串 : "mppds"="%WINDIR%\mppds.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值 : 字串 : "mscct "="%WINDIR%\mscct.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值 : 字串 : "nwizqjsj"="%system32%\nwizqjsj.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

键值 : 字串 : "upxdnd"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\zt.exe"

HKEY_CURRENT_USER\Software\Tencent\Hook2\

键值 : 字串 : "First"="wk"

HKEY_CURRENT_USER\Software\Tencent\IeHook

键值 : 字串 : "First"="kk"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\InprocServer32\@

键值 : 字串 :"%system32%\gdipri.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }\InProcServer32\@

键值 : 字串 :"%Program Files%\Internet Explorer\PLUGINS\System64.sys"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\ShellExecuteHooks\{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }

键值 : 字串 :"gdipri.dll"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPF\ImagePath

键值 : 字串 :"system32\drivers\npf.sys"

3 、病毒以下文件插入系统正常进程 explorer.exe 中：

%Temp%\Gjzo0.dll

%Temp%\iexpl0re.exe

%Temp%\upxdnd.dll

%system32%\cmdbcs.dll

%system32%\mppds.dll

%system32%\mscct.dll

%Program Files%\Common Files\Microsoft Shared\MSInfo\NewInfo.bmp

%Program Files%\Internet Explorer\PLUGINS\System64.sys

4 、通过 HOOK 系统函数，隐藏病毒进程。

5 、连接 *** 、下载病毒文件：

下载地址： M*.p*ga*e*.com/0/mh.exe

域名： M*.p*ga*e*.com

IP 地址： 5*.2*8.2*2.1*3

物理地址：江苏省徐州市

6 、该病毒下载大量盗号类木马到本机运行，可以盗取用户 *** 游戏及 *** 等的账号与密码。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。 

--------------------------------------------------------------------------------

清除方案：

  1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开 *** ，结束病毒进程：

explorer.exe

(2) 删除病毒文件：

%Temp%\c0nime.exe

%Temp%\Gjzo0.dll

%Temp%\iexpl0re.exe

%Temp%\LgSy0.dll

%Temp%\qq.exe

%Temp%\upxdnd.dll

%Temp%\zt.exe

%Program Files%\Common Files\Microsoft

Shared\MSInfo\NewInfo.bmp

%Program Files%\Common Files\Microsoft

Shared\MSInfo\system.2dt

%Program Files%\Internet Explorer\PLUGINS\system2.jmp

%Program Files%\Internet Explorer\PLUGINS\System64.sys

%WINDIR%\cmdbcs.exe

%WINDIR%\mppds.exe

%WINDIR%\mscct.exe

%system32%\cmdbcs.dll

%system32%\drivers\npf.sys

%system32%\fpsini.dll

%system32%\gdipri.dll

%system32%\mppds.dll

%system32%\mscct.dll

%system32%\Packet.dll

%system32%\systemm.exe

%system32%\WanPacket.dll

%system32%\wpcap.dll

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

键值 : 字串 : "c15vri220"="%Temp%\c0nime.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run

键值 : 字串 : "dvzmsw"="%Temp%\iexpl0re.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

键值 : 字串 : "cmdbcs"="%WINDIR%\cmdbcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

键值 : 字串 : "mppds"="%WINDIR%\mppds.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

键值 : 字串 : "mscct "="%WINDIR%\mscct.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run

键值 : 字串 : "nwizqjsj"="%system32%\nwizqjsj.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run\

键值 : 字串 : "upxdnd"="C:\DOCUME~1\COMMAN~1\

LOCALS~1\Temp\zt.exe"

HKEY_CURRENT_USER\Software\Tencent\Hook2\

键值 : 字串 : "First"="wk"

HKEY_CURRENT_USER\Software\Tencent\IeHook

键值 : 字串 : "First"="kk"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }\InprocServer32\@

键值 : 字串 :"%system32%\gdipri.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{ 754FB7D8-B8FE-4810-B363-A788CD060F1F }\InProcServer32\@

键值 : 字串 :"%Program Files%\Internet

Explorer\PLUGINS\System64.sys"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ShellExecuteHooks\

{ 131AB311-16F1-F13B-1E43-11A24B51AFD1 }

键值 : 字串 :"gdipri.dll"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\

NPF\ImagePath

键值 : 字串 :"system32\drivers\npf.sys"

木马病毒有什么危害?

木马同病毒不是很一样 病毒主要以破坏数据，破坏软硬件为目的 木马则主要以偷窃数据，篡改数据为目的 中木马后有可能对丢失上网帐号，各种口令和用户名，远程控制你的电脑，远程控制开启你机器的外围设备 “木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机 *** 中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。 病毒(n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。 与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。 “木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

木马病毒

以下几种类型的病毒为用户经常会遇到的病毒

◇引导型病毒

◇文件型病毒

◇蠕虫病毒

◇宏病毒

◇木马病毒

1.引导型病毒

引导型病毒是一种感染系统引导区的病毒。引导型病毒利用操作系统的引导模块物力位置固定的特点，抢占据该物理位置，获得系统控制权，而将真正的引导区内容转移或替换，待病毒程序执行后，再将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。由于引导型病毒多使用汇编语言编写，所以执行速度很快，用户很难察觉。

传播方式

引导型病毒通常是通过移动存储介质来传播的，用户只要在相互拷贝文件的时候注意一下，就可以减少感染引导型病毒的机会。

感染对象

引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。MBR病毒也称为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中，典型的病毒有 *** (Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇（即0面0道第1个扇区），典型的病 毒有Brain、小球病毒等。

病毒典型代表——小球病毒

小球病毒是我国发现的之一个计算机病毒，通过使用带有小球病毒的软盘启动计算机，就可以把病毒传染给计算机，再使用该计算机读取没有病毒的软盘，就又会把病毒传染给软盘。小球病毒发作时在屏幕上显示一个小球，呈正弦曲线般跳动，干扰用户的正常使用，可以说算是病毒中比较温和的一个了。

2.文件型病毒

文件型病毒是主要感染可执行文件的病毒，它通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序。

传播方式：

当宿主程序运行时，病毒程序首先运行，然后驻留在内存中，再伺机感染其它的可执行程序，达到传播的目的。

感染对象：

扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。

病毒典型代表——CIH

CIH病毒，别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，主要感染Windows95/98下的可执行文件，在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，危害更大的是v1.2版本，此版本只在每年的4月26日发作，又称为切尔诺贝利病毒（前苏联核事故纪念日）。

CIH病毒只在Windows 95/98环境下感染发作，当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。

3.蠕虫病毒

蠕虫病毒和一般的计算机病毒有着很大的区别，对于它，现在还没有一个成套的理论体系，但是一般认为：蠕虫病毒是一种通过 *** 传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对 *** 造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在 *** 中传播，严重的占用有限的 *** 资源，最终引起整个 *** 的瘫痪，使用户不能通过 *** 进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。

传播方式：

蠕虫病毒常见的传播方式有2种：

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷，通过 *** 主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个 *** 中，这也是是个人计算机被感染的主要途径。

感染对象：

蠕虫病毒一般不寄生在别的程序中，而多作为一个独立的程序存在，它感染的对象是全 *** 中所有的计算机，并且这种感染是主动进行的，所以总是让人防不胜防。在现今全球 *** 高度发达的情况下，一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。

病毒典型代表——震荡波

震荡波（Worm.Sasser）病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时，在本地开辟后门，监听TCP 5554端口，做为FTP服务器等待远程控制命令，黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时，病毒开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

4.宏病毒

宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序，它通常寄存在文档或模板的宏中。宏病毒是一种跨平台的病毒，在Windows, OS/2, Macintosh System等操作系统中均可表现出病毒行为。宏病毒用Word Basic语言编写，Word Basic语言提供了许多系统级底层调用，如使用DOS系统命令， 调用Windows API，调用DDE或DLL等，这些操作均可对系统构成直接威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行，所以宏病毒的危害性极大。

传播方式：

用户一旦打开感染了宏病毒的文档，包含在其中的宏就会被执行，于是宏病毒就会被激活，转移到了计算机上，并将自身复制到文档或者Normal模板中，从此以后，所有被打开或者关闭的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

感染对象：

宏病毒是传染数据文件的病毒，仅向WORD，EXCEL和ACCESS编制的文档进行传染，不会传染可执行文件。但是由于Office软件在全球具有广泛的用户，所以宏病毒的传播仍然十分迅速和广泛。

病毒典型代表——新爱虫

新爱虫病毒的传播主要以Word文档为主，该病毒为周期性爆发，激活病毒的条件是计算机日期为“3、6、9、12”月份，并且日期为5号时，此时病毒会改写C盘下的重要系统文件autoexec.bat，把一条删除C盘数据的命令写进去，当用户重新启动计算机时，就会发觉C盘下的所有文件已被删除，受破坏的用户的损失将不可估量。

5.木马病毒

木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马，因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式：

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有：

伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马

伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马

把自己绑定在正常的程序上面，高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，一旦用户安装winzip程序，就会不知不觉地把木马种下去

伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象：

木马程序感染的对象是整台计算机。

病毒典型代表——网银大盗

网银大盗（Trojan/PSW.HidWebmon）是 2004年4月18日被江民反病毒中心率先截获的木马病毒，该木马偷取XX银行个人网上银行的帐号和密码，发送给病毒作者，给成千上万用户的资金安全带来严重威胁；紧接着，又出现了网银大盗的变种病毒，窃取的网上银行帐号和密码的范围从1家直接扩展到数十家，是木马病毒中具有严重危害性的一个。

祝你好运 ^_^

什么是木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的 *** 病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

木马病毒是啥？

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

木马原理

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑 *** 用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接 *** 我们会在下一节中讲解。

五.建立连接：

一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。

什么是木马病毒?

1、木马病毒是一种专门用来偷取用户资料的病毒.

2、不会破坏程序.但会把你的 *** 密码.游戏帐号和密码.等发给编写病毒的人

3、可以用木马克星这个软件来查。（在网上搜索）

4、不要打开陌生的链接。不要轻易在网上下载文件。

5、无明显表现。只有你的 *** 丢了。或者邮箱丢了。你才会发现。

6、可以杀木马的软件来杀。比如木马克星。噬菌体等。

木马病毒是什么病毒?

木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马，因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有：

伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马

伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马

把自己绑定在正常的程序上面，高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，一旦用户安装winzip程序，就会不知不觉地把木马种下去

伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象

木马程序感染的对象是整台计算机。

病毒典型代表——网银大盗

网银大盗（Trojan/PSW.HidWebmon）是 2004年4月18日被江民反病毒中心率先截获的木马病毒，该木马偷取XX银行个人网上银行的帐号和密码，发送给病毒作者，给成千上万用户的资金安全带来严重威胁；紧接着，又出现了网银大盗的变种病毒，窃取的网上银行帐号和密码的范围从1家直接扩展到数十家，是木马病毒中具有严重危害性的一个。

温柔木马的资料?如题 谢谢了

“温柔木马”暴露地下信息黑市 犯罪团伙如何利用“木马”病毒获利？ 涉及16个省市、涉案金额高达3000多万元，近日在江苏徐州宣判的全国更大制售“木马”病毒案引起了社会的广泛关注。 “木马”病毒如何生产出来？犯罪团伙又如何利用“木马”病毒获利？记者调查发现，在“木马”病毒团伙犯罪背后隐藏有一个环环相扣的利益链和地下信息黑市。 制售“木马” 形成销售 *** 在12月中旬的审判中，包括“温柔”系列“木马”的 *** 人、总 *** 商在内的11人因“提供侵入计算机信息系统程序罪”和“非法获取计算机信息系统数据罪”，分别被法院一审判处三年以下有期徒刑或拘役缓刑，并处罚金总计83万余元。 负责此案审理的江苏省徐州市鼓楼区人民法院查明，2007年6月至2008年8月间，被告人吕轶众、曾毅夫等先后编写出针对40余款 *** 游戏的“木马”程序。2008年2月起，被告人严仁海接受曾毅夫委托，将该系列“木马”程序以其女友陈慧婷的网名“温柔”命名并总 *** 销售。 此后，吕轶众又将该“木马”程序修改后分包给不同的一级 *** 商张帆、张金煌等人。由此，逐步形成了以严仁海、陈慧婷为总 *** ，张帆、张金煌等数十人为分 *** 的销售 *** 。 至案发前，吕轶众等人制售的“温柔”系列“木马”程序达28款，盗窃游戏账号、密码超过530万组。 “木马” *** 简单 窃取信息后果很严重 反病毒工程师唐威介绍，目前更流行也是应用最广泛的就是网页“挂马”，网民点击含有“木马”的网页时电脑就会染上病毒。而色情、博彩、网游外挂是最危险的三类网站。 “使用‘木马’生成器，一个小学生就会做‘木马’。‘木马’可能很简单，但它窃取信息的后果却可能相当严重。”专家评论说。 不法分子还能利用成千上万中了特殊的“木马”病毒的电脑，组成“僵尸” *** ，进行大规模的 *** 攻击，甚至危害国家安全。今年5月19日，我国部分省份互联网瘫痪，正是缘于“僵尸” *** 发起的对域名解析服务器大规模攻击所致。 “木马” *** 培训 *** 随处可见 “木马”病毒在 *** 上为何如此泛滥？专家告诉记者，利益驱动是主要动力，其背后隐藏有一个巨大的地下信息黑市。 以“温柔木马”案为例，涉案人员之所以能在短时间内获取巨额利益，原因很简单——他们不缺买家。众多的 *** 游戏玩家成为他们潜在的买家和用户。 除了个人买家外，一些 *** 游戏“私服”网站也是潜在的买家。为了攻击竞争对手，他们向控制了“僵尸” *** 的黑客付费，希望能“黑”掉竞争网站。 与盗取网游账号相比，利用“木马”窃取信用卡账户、扰 *** 易的危害性无疑更大。 安全软件供应商赛门铁克公司针对全球的最新统计数据显示，信用卡的相关信息是地下信息交易中最常出售的商品，占总量的31%。在一些网站上，被窃取的信用卡账号每个售价从0.1美元到25美元不等，而被窃取的信用卡透支限额平均达到4000美元以上。 取证难，立法缺陷 影响打击“木马”犯罪 “‘木马’病毒犯罪的特点是低风险、高回报，电子证据难以取得并固定。”瑞星攻防实验室首席研究员刘思宇以曾经轰动一时的“熊猫烧香”案为例说，10余个省市的警方历经两月的侦查取证，才将所有涉案人员抓捕归案。而为了形成完整的证据链条，还需要实地勘察受害者机器、控制者机器、涉案入侵服务器证据，才能定罪。 北京邮电大学法律系教授刘德良认为，“木马”犯罪如此猖獗，与我国目前的立法缺陷有关： 一方面，既有的刑法没有把 *** 公共安全视为公共安全的内容。 另一方面，刑法没有把存储于信息空间的有价值信息视为法律上的财产，导致对于“木马”犯罪行为无法使用刑法关于盗窃罪的有关规定。