本文目录一览:
- 1、木马和病毒有什么区别?谁有病毒排行榜资料?
- 2、*********************************************
- 3、为什么电脑病毒杀不完?
- 4、插件、软件、木马、病毒各自的定义
- 5、合成动物有木马病毒吗
- 6、什么是点脑病毒?如何防范计算机病毒和木马?
木马和病毒有什么区别?谁有病毒排行榜资料?
06上半年十大病毒排行榜出炉 灰鸽子成毒王
自从之一个计算机病毒爆发以来,已经过去了20年左右的时间。《InformationWeek》最近评出了迄今为止破坏程度最为严重的十大病毒。
上个世纪80年代上半期,计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去,但绝大多数都被研究人员严格地控制在了实验室中。随后,“大脑” (Brain)病毒出现了。1986年年初,人们发现了这种计算机病毒,它是之一个PC病毒,也是能够自我复制的软件,并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量,Brain的传播速度几乎是缓慢地爬行,但是无论如何,它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。
CIH
估计损失:全球约2,000万~8,000万美元,计算机的数据损失没有统计在内。
CIH病毒1998年6月爆发于中国台湾,是公认的有史以来危险程度更高、破坏强度更大的病毒之一。
CIH感染Windows 95/98/ME等操作系统的可执行文件,能够驻留在计算机内存中,并据此继续感染其他可执行文件。
CIH的危险之处在于,一旦被激活,它可以覆盖主机硬盘上的数据并导致硬盘失效。它还具备覆盖主机BIOS芯片的能力,从而使计算机引导失败。由于能够感染可执行文件,CIH更是借众多软件分销商之力大行其道,其中就包括Activision游戏公司一款名为“原罪”(Sin)游戏的演示版。
CIH一些变种的触发日期恰好是切尔诺贝利核电站事故发生之日,因此它也被称为切尔诺贝利病毒。但它不会感染Windows 2000/XP/NT等操作系统,如今,CIH已经不是什么严重威胁了。
梅利莎(Melissa)
损失估计:全球约3亿~6亿美元
1999年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用 PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,为了防止损害,他们被迫关闭整个电子邮件系统。
梅利莎通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。
该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件(成千上万毫无疑虑的用户都是这么做的),就会使病毒感染主机并且重复自我复制。
更加令人恼火的事情还在后头——一旦被激活,病毒就用动画片《辛普森一家》(The Simpsons)的台词修改用户的Word文档。
我爱你(ILOVEYOU)
损失估计:全球约100亿~150亿美元
又称情书或爱虫。它是一个Visual Basic脚本,设计精妙,还有令人难以抗拒的诱饵——爱的诺言。
2000年5月3日,“我爱你”蠕虫病毒首次在香港被发现。
“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。和梅利莎类似,病毒也向Microsoft Outlook通讯簿中的联系人发送自身。
它还大肆复制自身覆盖音乐和图片文件。更可气的是,它还会在受到感染的机器上搜索用户的账号和密码,并发送给病毒作者。
由于当时菲律宾并无制裁编写病毒程序的法律,“我爱你”病毒的作者因此逃过一劫。
红色代码(Code Red)
损失估计:全球约26亿美元
“红色代码”是一种计算机蠕虫病毒,能够通过 *** 服务器和互联网进行传播。2001年7月13日,红色代码从 *** 服务器上传播开来。它是专门针对运行微软互联网信息服务软件的 *** 服务器来进行攻击。极具讽刺意味的是,在此之前的六月中旬,微软曾经发布了一个补丁,来修补这个漏洞。
“红色代码”还被称为Bady,设计者蓄意进行更大程度的破坏。被它感染后,遭受攻击的主机所控制的 *** 站点上会显示这样的信息:“你好!欢迎光临 !”。随后,病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务 (DoS)攻击。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。
SQL Slammer
损失估计:由于SQL Slammer爆发的日期是星期六,破坏所造成的金钱损失并不大。尽管如此,它仍然冲击了全球约50万台服务器,韩国的在线能力瘫痪长达12小时。
SQL Slammer也被称为“蓝宝石”(Sapphire),2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒,给互联网的流量造成了显而易见的负面影响。有意思的是,它的目标并非终端计算机用户,而是服务器。它是一个单包的、长度为376字节的蠕虫病毒,它随机产生IP地址,并向这些IP地址发送自身。如果某个IP地址恰好是一台运行着未打补丁的微软SQL服务器桌面引擎(SQL Server Desktop Engine)软件的计算机,它也会迅速开始向随机IP地址的主机开火,发射病毒。
正是运用这种效果显著的传播方式,SQL Slammer在十分钟之内感染了7.5万台计算机。庞大的数据流量令全球的路由器不堪重负,如此循环往复,更高的请求被发往更多的路由器,导致它们一个个被关闭。
冲击波(Blaster)
损失估计:20亿~100亿美元,受到感染的计算机不计其数。
对于依赖计算机运行的商业领域而言,2003年夏天是一个艰难的时期。一波未平,一波又起。IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。“冲击波”(又称“Lovsan”或“MSBlast”)首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播,两天之内就达到了攻击顶峰。病毒通过 *** 连接和 *** 流量传播,利用了Windows 2000/XP的一个弱点进行攻击,被激活以后,它会向计算机用户展示一个恶意对话框,提示系统将关闭。在病毒的可执行文件MSBLAST.EXE代码中隐藏着这些信息:“桑(San),我只想说爱你!”以及“比尔?盖茨(Bill Gates)你为什么让这种事情发生?别再敛财了,修补你的软件吧!”
病毒还包含了可于4月15日向Windows升级网站(Windowsupdate.com)发起分布式DoS攻击的代码。但那时,“冲击波”造成的损害已经过了高峰期,基本上得到了控制。
霸王虫(Sobig.F)
损失估计:50亿~100亿美元,超过100万台计算机被感染.。
“冲击波”一走,“霸王虫”蠕虫便接踵而至,对企业和家庭计算机用户而言,2003年8月可谓悲惨的一月。更具破坏力的变种是Sobig.F,它8月 19日开始迅速传播,在最初的24小时之内,自身复制了100万次,创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后,这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。
2003年9月10日,病毒禁用了自身,从此不再成为威胁。为得到线索,找出Sobig.F病毒的始作俑者,微软宣布悬赏25万美元,但至今为止,这个作恶者也没有被抓到。
Bagle
损失估计:数千万美元,并在不断增加
Bagle是一个经典而复杂的蠕虫病毒,2004年1月18日首次露面。这个恶意代码采取传统的机制——电子邮件附件感染用户系统,然后彻查视窗(Windows)文件,寻找到电子邮件地址发送以复制自身。
Bagle(又称Beagle)及其60~100个变种的真正危险在于,蠕虫感染了一台计算机之后,便在其TCP端口开启一个后门,远程用户和应用程序利用这个后门得到受感染系统上的数据(包括金融和个人信息在内的任何数据)访问权限。据2005年4月,TechWeb.com的一篇文章称,这种蠕虫 “通常被那帮为了扬名而不惜一切手段的黑客们称为‘通过恶意软件获利运动’的始作俑者”。
Bagle.B变种被设计成在2004年1月28日之后停止传播,但是到目前为止还有大量的其他变种继续困扰用户。
MyDoom
损失估计:在其爆发的高峰期,全球互联网的速度性能下降了10%,网页的下载时间增加了50%。
2004年1月26日几个小时之间,MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播,顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做Norvarg,它传播自身的方式极为迂回曲折:它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件,单击这个附件,它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户 *** 账户的共享文件夹来进行传播。
这个复制进程相当成功,计算机安全专家估计,在受到感染的最初一个小时,每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播。
震荡波(Sasser)
损失估计:数千万美元
“震荡波”自2004年8月30日起开始传播,其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班,全球范围内的许多公司不得不关闭了系统。
与先前多数病毒不同的是,“震荡波”的传播并非通过电子邮件,也不需要用户的交互动作。
“震荡波”病毒是利用了未升级的Windows 2000/XP系统的一个安全漏洞。一旦成功复制,蠕虫便主动扫描其他未受保护的系统并将自身传播到那里。受感染的系统会不断发生崩溃和不稳定的情况。
“震荡波”是德国一名17岁的高中生编写的,他在18岁生日那天释放了这个病毒。由于编写这些代码的时候他还是个未成年人,德国一家法庭认定他从事计算机破坏活动,仅判了缓刑。
*********************************************
下面的这个文章是我在《黑客技术大宝库》中看到的,作者把木马(病毒)说明得很详细,我相信你看了之后会知道不少东西的。
木马指南
1.这篇文章关于什么?
在这篇文章里,我将向你解释木马及其未来的一些令人感兴趣的事情.我希望你能认识到木马是危险的,
它仍是一个很大的安全问题.尽管许多人说不从 *** 上下载文件你将不会感染木马,这是不正确的.我在这儿
想解释的是木马有将来及其一些令人感兴趣的事.这篇文章只是为基于WINDOWS平台而非UNIX的木马准备.
2.木马是什么?
包含在合法程序里的未授权的程序.该未授权的程序执行用户未知(很可能不想)的功能.
一个合法的但是已经被改动的程序,在它里面包含有未授权的代码,这段代码执行用户未知(很可能不想的功能.
任何看起来执行想要和必须的功能(因为里面的未授权代码对用户是未知的)而实际执行一些用户未知
(很可能不想)的功能.
TROJANS也能叫做RAT's或远程管理工具(Remote Administration Tools),TROJAN的名字来自古老的神话故事:
希腊人在战争中如何给他们的敌人一个很大的木马做为礼物,他们接受了这个礼物,把木马带进了他们的王国,
在晚上,希腊士兵冲出了木马,向城市发动了进攻,完全征服了它.
3.木马的今天
特洛伊木马一直是一个大的安全问题,即使在如今也是.绝大多数人不知道木马为何物,他们不停从可疑
的人或不可信的地方下载文件.如今在网上有多于600种我所知的木马,我想实际会比这多的多,因为如今的每一
个黑客和程序员都有自己的为了他(她)特定需要没在任何地方公布的木马.每个黑客小组都有他们自己的木马
和程序.当有人开始学WINSOCK编程的时候,更先生成的通常是聊天客户端软件和木马.即使有反病毒扫描器(我
将在下面谈到),人们仍旧会被感染,被自己,被某些黑客,或被一些朋友.
4.木马的将来
我想有许多人们认为木马已经过时,没有前途,我不这样认为.木马将总是有前途,新东西会加到里面,在
木马中有如此多的东西可以被有技巧的程序员改善.
有新的选项和更好的加密 *** 的木马每天都在由程序员制造,以致防木马软件不能检测到它们.因此,没有
人知道在网上有多少木马.但是程序员仍在编制木马,他们在将来也会继续.从技术上来说,木马几乎可以在任何
地方任何操作系统或硬件平台上出现,然而在前面提到的室内工作除外.木马的广泛传播很象病毒,来自因特网
的软件下载,尤其是共享和免费软件,总是可疑的,类似地,来自地下组织服务器或用户新闻组的材料也在侯选
之列.有成千上万的软件没有检查来源,新程序特别是免费软件每天都在出现,他们可能都是木马.因此,留心你
正在下载什么,正从哪儿下载,总是从正式的页面下载软件.
5.防病毒扫描器
人们认为,当他们有了有最新的病毒定义的防病毒扫描器之后,他们在网上就是安全的,他们将不会感染
木马或没有人可以访问.
他们的计算机.这种观点是不正确的.防病毒扫描器的目的是检测病毒而不是木马.但是当木马流行的时候,
这些扫描器也开始加一些木马的定义,他们不能发现木马并分析他们,这就是他们为什么只能检测常用和广为
人知的木马比如BO和NETBUS或少数几个其他的.正如我说的,木马有大约600种,而这些扫描器只能检测他们中
极少的一部分.这些扫描器不是可以阻止试图连接你的电脑或试图攻击你(正如人们认为他们那样)的防火墙.
因此,我希望你明白这些扫描器的主要目的不是当你上线的时候检测木马并保护你.绝大多数的因特网用户只知
道BO和NETBUS是特洛伊木马,有一些特定的工具只能清除这些木马,人们就认为他们是安全的能受保
护不感染每一个木马.
6.我怎么会感染木马?
每个人都问这个问题,人们经常问他们自己怎么会感染上木马,也有一些人问的时候,他们确实运行了
某些由别人发送或从某个地方下载的文件,人们总是说他们不会运行任何东西或下载某些文件,但是他们做了.
人们总是在上线的时候不注意一些事情,这就是为什么他们会忘记他们感染木马是在什么时候.
你会在任何地方受感染,在这里我会试图解释这些事情:
---从ICQ
---从IRC
---从附件
---从物理访问
---从诡计
6.1 从ICQ
人们认为当他们正用ICQ交谈的时候不会感染,然而,他们忘记了某人给他们发送文件的时刻.每个人都知
道ICQ有多不安全,这就是为什么那么多人害怕使用它.正如你所知道的,ICQ有一个BUG让你可以发送EXE文件
给某人,但是文件看起来是BMP或JPG或不管你想让它看起来象什么的东西.这是非常危险的,正如你明白的,
你会陷入麻烦.攻击者将只是把文件的图标改成象一个BMP图象,告诉你它是他的相片,将它重命名为photo.bmp,
接着你会得到它,当然,在得到它之前你会看到bmp图象,此时你是安全的,因为它还没有被执行,接着你运行
它看照片,你认为没有什么可担心的,其实有.
那是为什么绝大多数人说他们不运行任何文件,因为他们知道他们运行了一个图片而不是可执行文件.一
个防止这个ICQ里的BUG的 *** 是在运行之前总是检查文件的类型,它可能有一个BMP的图标但是如果文件类
型写着可执行,我想你知道如果你运行它的话将是一个错误.
6.2 从IRC
你也可能从IRC上通过接收不可信来源文件而感染木马.我建议你应该总是paranoid,不接收来自任何人
甚至是你的更好的朋友的文件,因为有人可能偷取了他(她)的密码而来感染你.当有人问某人某些事如一个
秘密或别的只有他(她)知道的事时,他(她)认为他(她)可以100%的确信问的那个人是他(她)的朋友,
正如我告诉你paranoid,因为有人可以感染你的朋友并检查他(她)的IRC日志,看秘密是什么或了解其他的
事情.正如我所说,paranoid是更安全的,不要接受任何来自在IRC上的任何人的文件或其他地方如EMAIL,
ICQ,甚至你的在线朋友.
6.3 从附件
同样的事情也会伴随EMAIL附件发生.不要运行任何东西即使它说你将会看到热辣的色情作品或一些服
务器的密码或别的什么东西.用木马感染某人更好的 *** 是向服务器投递大量的EMAIL,因为在网上有很多新
手,他们当然会受感染.这是更好的感染办法--如我所说:为什么它是想感染大众的人的首选 *** .
6.4 物理访问
当你的”朋友“可以物理访问你的计算机的时候,你当然会被感染.让我们假定你丢下某人在你
的电脑旁5分钟,那么你当然会被你的"朋友“中的某人感染.有一些非常精明的人,时刻想着物理访问某人
的电脑的新 *** ,下面是一些有趣的诡计:
1.你的”朋友“可能请你”嗨兄弟,能给我一点水吗?“或其他的可以让他单独呆着的事情,你会去取
点水,接着..你知道会发生什么.
2.攻击者可能有一个计划.比方你邀请他(她)12:00在你的家里,他会叫你的一个”朋友“在12:15给
你打 *** 和你谈一些事情,攻击者又有时间感染你了.也可以是:给你打 *** 的”朋友“说一些如”有人
在你身边吗?如果有的话,不如移到其他地方,我不想让任何人听到我们的谈话“,这样,攻击者又单独
呆着有时间感染你了.
6.5 诡计
这是一个对真想要些什么的人起作用的诡计,当然攻击者知道它是什么.比方说受害人想看色情作品
或***密码,那么,攻击者会在受害人屋子前留下一个含有木马的软磁盘,当然会将木马和XXX图片放在
一起.这是一个坏事情,因为有时候你真的想要某些东西,并且最后发现了它.
7.木马会有多危险?
许多不知道木马是什么的人认为当他们运行一个可执行文件的时候什么都没有发生,因为他们的电脑仍
旧还在工作,所有的数据都还在.如果上病毒的话,他们的数据将被毁坏,电脑将不再工作.
有人正在你的电脑上上传和下载文件;有人正读你所的IRC日志,了解你和你朋友的有趣的事情;有人
正读你的所有的ICQ消息;有人正删除你电脑上的文件....
这是一些显示木马有多危险的例子.人们只是在被感染的机器上用木马代替如CIH一样的病毒,然后毁坏机器.
8.不同种类的木马
--远程控制型木马:
这是现在更流行的木马.每个人都想有这样的木马,因为他们想访问受害人的硬盘.RAT'S (remote access
trojans)使用起来非常简单,只需要某人运行服务器,你得到受害人的IP,你对他或她的计算机有完全的访问
权.你能做一些事情,它依赖于你使用的木马.但是,RAT'S有通常的远程控制木马的功能如:KERLOGGER,上传
和下载,MAKE A SCREEN SHOT等等.有人将木马用于恶意的目的,他们只是想删除又删除....
这是LAME.但是我有一个关于使用木马更好 *** 的指南,你应该读它.有很多用于检测最常用木马的程序,
但是新木马每天都出现,这些程序不是更好的防御.木马总是做同样的事情.如果每次WINDOWS重新启动的时候,
木马重启,这意味着它放了什么东西在注册表或WIN.INI或其他的系统文件里,因此它能重启.木马也可能在
WINDOWS系统目录里生成一些文件,这些文件总是看起来象一些受害人认为是正常的WINDOWS可执行文件.绝大
多数木马隐瞒任务表Most trojans hide from the Alt+Ctrl+Del menu,有人只用ALT+CTRL+DEL来看哪些进
程正在运行,这是不好的.有程序会正确地告诉你进程和文件来自哪儿,但是有一些木马(正如我跟你所说)
使用伪造的名字,对有些人来说,要决定哪个进程应该杀死是有一点困难的.
远程控制木马打开一个端口让每一个人都可以连上你的电脑.有些木马有些选项象改变端口和设置密码以
使只有那个感染你的家伙可以使用你的电脑.改变端口选项是非常好的,因为我确信你不想让你的受害人看见
他的电脑上的端口31377是开着的.远程控制木马每天都在出现,而且将继续出现对那些使用这样的木马的人:
小心感染你自己,那么那些你想毁灭的受害人将会报复,你将会感到难过.
--发送密码型木马:
这些木马的目的是得到所有缓存的密码然后将他们送到特定的EMAIL地址,不不让受害者知道 e-mail.绝大
多数这种木马在WINDOWS每次加载的时候不重启,他们使用端口25发送邮件.也有一些木马发送其他的信息如
ICQ,计算机信息等等.如果你有任何密码缓存在你电脑的任何地方,这些木马对你是危险的.
--Keyloggers:
这些木马是非常简单的,他们做的唯一的事情就是记录受害人在键盘上的敲击,然后在日志文件中检查
密码.在大多数情况下,这些木马在WINDOWS每次加载的时候重启,他们有象在线和下线的选项,当用在线选
项的时候,他们知道受害人在线,会记录每一件事情.然而,当用下线选项的时候,WINDOWS开始后被写下的
每一件事情会被记录并保存在受害人的硬盘等待传送.
--破坏型木马:
这种木马的唯一功能是毁坏和删除文件,使得他们非常简单易用.他们能自动删除你计算机上所有的DLL,
EXE,INI文件.这是非常危险的木马,一旦你被感染,毫无疑问,如果你没有清除,你的计算机信息将不再存在.
--FTP型木马:
这种木马在你的电脑上打开端口21,让任何有FTP客户软件的人都可以不用密码连上你的电脑并自由上传和
下载.这些是最常用的木马,他们都是危险的,你应该小心使用他们.
9.谁会感染你?
基本上,你会被每个知道会如何使用木马(这非常简单)当然知道怎么感染你的人感染.使用木马的人是仅
仅停留在使用木马阶段的黑客,他们中的一些人不会走到下一个阶段,他们是只能使用木马(正如我所说这非
常简单)的LAMERS,但是,读了这篇文章后,你将知道别人用木马感染你的最常用 *** ,它将使那些想用木马
感染你的人感到困难.
10.攻击者要找什么?
你们中的一些人可能认为木马只用来搞破坏,他们也能用来刺探某人的机器,从里面取走很多私人信息.
攻击者取的信息将包括但不限于下列常用数据:
----信用卡信息
----信贷信息
----常用帐号信息
----任何帐号数据
----数据库
----邮件列表
----私人地址
----EMAIL地址
----帐号密码
----个人简历
----EMAIL信息
----计算机帐号或服务订阅信息
----你或你的配偶的姓名
----子女的姓名年龄
----你们的地址
----你们的 *** 号码
----你写给别人的信
----你家庭的照片
----学校作业
----任何学校的帐号信息
11.木马如何工作?
在这儿我会向你解释木马是如何工作的,如果你有些单词不了解,你可以查阅“文章中常用术语”部分.
当受害人运行木马服务器的时候,它确实在做些什么,如打开某个特定端口监听连接,它可以使用TCP或UDP
协议.当你连上受害人的IP地址时,你可以做你想做的事,因为你放了木马的计算机上的服务器让你这么做.
一些木马每次在WINDOWS被加载的时候重启,他们修改WIN.INI或SYSTEM.INI,因此他们可以重启,但是大多
数新木马使用注册表完成相应功能.木马象客户和服务器一样相互通信,受害人运行服务器,攻击者使用客户
向服务器发送命令,服务器只是按客户说的去做.
12.最常用木马端口
这儿有最常用的木马端口列表:
Satanz Backdoor|666
Silencer|1001
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
WebEx|1001
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
BackDoor|1999
Trojan Cow|2001
Ripper|2023
Bugs|2115
Deep Throat|2140
The Invasor|2140
Phineas Phucker|2801
Masters Paradise|30129
Portal of Doom|3700
WinCrash|4092
ICQTrojan|4590
Sockets de Troie|5000
Sockets de Troie 1.x|5001
Firehotcker|5321
Blade Runner|5400
Blade Runner 1.x|5401
Blade Runner 2.x|5402
Robo-Hack|5569
DeepThroat|6670
DeepThroat|6771
GateCrasher|6969
Priority|6969
Remote Grab|7000
NetMonitor|7300
NetMonitor 1.x|7301
NetMonitor 2.x|7306
NetMonitor 3.x|7307
NetMonitor 4.x|7308
ICKiller|7789
Portal of Doom|9872
Portal of Doom 1.x|9873
Portal of Doom 2.x|9874
Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422
Masters Paradise 2.x|40423
Masters Paradise 3.x|40426
Sockets de Troie|50505
Fore|50766
Remote Windows Shutdown|53001
Telecommando|61466
Devil|65000
The tHing|6400
NetBus 1.x|12346
NetBus Pro 20034
SubSeven|1243
NetSphere|30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor| 7306
Streaming Audio Trojan| 1170
Socket23 |30303
Gatecrasher |6969
Telecommando | 61466
Gjamer |12076
IcqTrojen| 4950
Priotrity |16969
Vodoo | 1245
Wincrash | 5742
Wincrash2| 2583
Netspy |1033
ShockRave | 1981
Stealth Spy |555
Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011
FTP99CMP | 1492
Shiva Burka | 1600
Remote Windows Shutdown | 53001
BigGluck, | 34324
NetSpy DK | 31339
Hack?99 KeyLogger | 12223
iNi-Killer | 9989
ICQKiller | 7789
Portal of Doom | 9875
Firehotcker | 5321
Master Paradise |40423
BO jammerkillahV | 121
13.不用扫描器如何监视自己的计算机?
大众认为当他们有木马和防病毒扫描器时他们就是安全的,更好的检测木马的 *** 是自己动手,你不能
确信木马扫描器是否正确地工作因此开始自己检测.在这篇文章里我已经包含了软件和课程评论的列表,它
们将有助于你自己检测你的机器是否有木马.你总需要检测你的系统看什么端口开着,如果你看到有一个常用
木马端口开着,你很可能已经感染了木马.
**注解**
你可以在DOS方式下使用NETSTAT或用其他的软件做这件事.
**注解**
总是注意你的电脑上有什么文件在运行,检查它里面的一些可疑的东西如它的名字.我想你会检测象
config.EXE,himem.exe,winlilo.exe或其他一些有趣的文件,Hex Edit them,如果你发现一些有趣的东西
如SchoolBus Server,立刻杀死他们.确信你在监视注册表并时刻检查它里面新的变动,确信你在监视
system.ini或win.ini,因为仍旧有很多木马从它们重启.正如我告诉你的下载一些广为人知的程序如ICQ或
MIRC总要从其官方主页下载.遵循这些简单的规则将有助于防止你的电脑感染上木马.
14.帮助你监视自己的电脑的软件
正如我告诉你的我已经包含了可以帮助你监视自己的计算机防止木马感染的软件的列表.
++++++++++++++++
----LogMonitor+
++++++++++++++++
文件和目录监视工具
Version: 1.3.4
Home page:
Author: Vadim Dumbravanu, koenigvad@yahoo.com
Log Monitor是一个文件和目录监视工具,它定期检查选定文件的修改时间,运行外部程序看是否文件已被
改变.对目录而言,它处理象文件改动,添加或删除.
平台:Windows 95/98/NT
自由供个人和商业使用,看LICENSE.TXT得到版权信息.文件包含下列主题:
--1.目的
--2.用法
--3.特性
--4.安装
--5.反安装
1.目的
程序的目的是让不同的管理员使用自动处理程序.有时候这些自动处理程序会停止工作甚至异常终止,处理
程序生成或更新错误的日志文件.Log Monitor会由他们的日志文件监视这样的处理程序,向管理员发出问题警告.
2.用法
绝大多数处理程序跟踪日志文件,定期更新他们.因此,如果这些处理程序异常终止,日志文件停止改变.如果
处理程序在选定的时段没有更新日志文件,Log Monitor会运行一个外部程序,可能是net send bla bla bla或内
存分页程序或进程重启.如果文件也被改变,Log Monitor会运行一个程序,因此你可以检查文件是否改变.Log
Monitor也可以监视目录并处理目录下的文件的变化,添加和删除.Log Monitor也被用做一个任务调度程序,如果
你想比如每个小时运行一次任务,NT Scheduler Service是不符合要求的.使用Log Monitor你可以添加根本不存在
的文件,接着选定3600秒的时间段和程序,只要文件不更新,选定的程序将每个小时运行一次.在程序被启动
之前你可以定义运行时间和日期.
3.特性
好几个文件或目录可以同时被监视,每个文件有自己的时间,由独立的线程处理.监视进程的列表存储在配
置文件里.可以最小化到System Tray,也可以恢复.
有暂停监视选定文件的能力,“暂停”状态也可以存储在配置文件里.
依调度工作,可以只在选定的每周每月的时间间隔内检查文件和目录.
其他很多很好的特性...
++++++++++++
----PrcView+
++++++++++++
PrcView是一个可以显示广泛的现运行进程信息的免费进程查看工具,这些信息包括这样的细节:生成时间,
版本,选定进程使用的DLL文件的全路径,所有线程的列表,内存块和堆.PrcView也允许你杀死或附带一个调试
器到选定的进程,PrcView既可在WINDOWS 95/98也可在WINDOWS NT平台运行,程序包括窗口和命令行两个版本.
PrcView可以以带有最初的版权条款的压缩包形式并遵循非商业原则自由免费分发.
该程序由商业组织向第三方的分发和基于该 程序的工作必须经作者允许.如果你在运行该程序的时候遇到问题请
访问以获得最新版本,如果仍有问题,请发送一个简短的描述给IgorNys@writeme.com
----XNetStat
XNetStat是一个和DOS提示符下的NETSTAT一样的程序,该程序显示你计算机上所有打开的端口和已经建立的
连接,如果你需要或有任何疑问请MAIL:fresh@arez.com
++++++++++++
----AtGuard+
++++++++++++
AtGuard是一个有很酷特性的防火墙软件.它也能显示你的计算机中的哪个文件打开了一个向外的连接,如果
你想检测电脑上的木马,这是非常有用的.我丢失了该程序的URL,但是,你可以试着在altavist *** 或
packetstorm.securify.com搜索一下.
+++++++++++++++++++++++++
-----ConSeal PC FIREWALL+
+++++++++++++++++++++++++
这款软件使你的PC更安全,相比其他基于PC的防火墙,它有一些超过它们的主要优势.在Windows 95,
Windows 98 and Windows NT(3.51 4.0)上,它都可以使用.对WINDOWS机器,它可能是更好的防火墙,会
帮助你堵住你机器上的木马端口,也能抵御各种DOS攻击.
+++++++++++++++++
----LockDown2000+
+++++++++++++++++
这真是一个好的可以检测许多木马的工具包,它也作为防火墙可以保护你免受NUKE和ICQ攻击,还可以阻
止文件共享以使你不再有这方面的问题.它定期更新,加入很多新的木马定义.你想免受攻击和木马感染的话,
你必须拥有它.你可以在 处获得.
++++++++++
----TDS-2+
++++++++++
TDS(Trojan Defence Suite)也是一个有很多功能和插件的反木马工具包,它也几乎检测所有木马并定
期更新.如果你想免受攻击和木马感染,这也是必须有的一个工具.你可以在处获得.
使用所有课程中提到到反木马工具包,将会构建一个安全的反木马的WINDOWS机器.
15.在程序中设置后门
使用木马感染别人的人正变得更聪明了,他们开始将木马设在一些每个人都使用的真实程序里面,因此,
他们可以感染受害者.绝大多数人知道当他们运行一个木马程序的时候,没有什么事情发生或出错信息出现,
但是,当木马被设进其他的程序的时候,这些程序正常工作,没有任何出错信息,受害者会认为他(她)没
有被感染.这是不正确的.程序员会把两个或更多的可执行部分合成一个生成程序,因此,他们可以将木马设
在一些每个人都知道的程序里.这些开放源代码的广为人知的程序也是危险的.好的程序员可以修改源代码使
它象一个木马,比方说,你正在使用被修改过的邮件客户.人所共知,发送密码型木马会使用端口25发送一些
包含有信息的邮件.想象如果攻击者修改了你的邮件客户把你的邮箱密码发送给他(她)会怎样.当然,你会
看见(如果你正在监视的话)端口25正开着,但是,很可能你不会注意,因为你正在发送邮件(正常情况下
发邮件时端口25开着),正如我所说,人们正变得越来越聪明.
16.建议
我的一些建议将帮助你免受木马或病毒感染:
-1.从不接收文件,即使来自你的朋友.你永远也不能确定电脑的另一端是谁.
-2.当执行文件的时候,首先检查它的类型,因为有些人可能设诡计让你运行它.
-3.总是监视你计算机上的开放端口和运行的文件.
-4.只从官方主页下载软件
-5.当玩木马的时候,你可能感染自己,因为木马创造者有时将木马服务器放在客户里,因此当你运行客户的
时候,你也被感染了.这又一次向你显示木马是很危险的,一旦你犯了错误,你会丢失一些敏感数据.
-6.变得paranoid会更安全.人们总是嘲笑那些烧掉他们每张纸片的人,他们将所有的密码放在头脑里,并使
用加密,不用ICQ或IRC,因为他们知道这些协议是多么脆弱.
17.最后的话
文章到这里就没了,不久我将更新它. *** W,这是我的更大的也是写得更好的文章,我真的很喜欢它,我也希
望它将帮助那些想知道如何保护自己免受木马感染和想学更多有关知识的人们.这又是一篇安全相关的教程,正
如我以前所说我现在开始写这样的文章了.你可以查阅我的杂志:blackcode.com/bc-tech/magazine.php3
这篇指南出与教育目的,对读了这篇文章之后发生的任何事情,我不会承担任何责任.我只是告诉你如何做
而不是叫你做,那是你的决定.如果你想把这篇文章放在你的站点或FTP或新闻组或其他的任何地方,你可以这
样做,但是,没有作者的允许不要改变任何东西.看到这篇文章出现在其他的页面上,我将会感到很幸福.
为什么电脑病毒杀不完?
这是因为电脑中顽固木马病毒,而已安装的杀毒软件病毒库没有此木马病毒的特征导致的。此木马病毒一直在后台运行,不断从 *** 上下载新的病毒到本地电脑。所以电脑会不断提示有病毒,总也杀不完。解决 *** :更新杀毒软件病毒库到最新。
木马病毒简介:
“木马”与计算机 *** 中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
插件、软件、木马、病毒各自的定义
插件
插件是一种遵循一定规范的应用程序接口编写出来的程序。很多软件都有插件,插件有无数种。例如在IE中,安装相关的插件后,WEB浏览器能够直接调用插件程序,用于处理特定类型的文件。
��IE浏览器常见的插件例如:Flash插件、RealPlayer插件、MMS插件、MIDI五线谱插件、ActiveX插件等等;再比如Winamp的DFX,也是插件。还有很多插件都是程序员新开发的。
��组件和插件的区别是,插件是属于程序接口的程序,组件在ASP中就是控件、对象,ASP/IIS的标准安装提供了11个可安装组件。ASP的FSO组件,编程的朋友都如雷贯耳吧,它就是最常用的Scripting.FileSystemObject对象
1.什么是插件? 插件是指会随着IE浏览器的启动自动执行的程序.
2.恶意插件有什么特征? 有些插件程序能够帮助用户更方便浏览因特网或调用上网辅助功能,也有部分程序被人称为广告软件(Adware)或间谍软件(Spyware).此类恶意插件程序监视用户的上网行为,并把所记录的数据报告给插件程序的创建者,以达到投放广告,盗取游戏或银行帐号密码等非法目的.
因为插件程序由不同的发行商发行,其技术水平也良莠不齐,插件程序很可能与其它运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,阻塞了正常浏览.
3.插件会从什么位置加载到IE浏览器中? 根据插件在浏览器中的加载位置,可以分为工具条(Toolbar)、浏览器辅助(BHO)、搜索挂接(URL SEARCHHOOK)、下载ActiveX(ACTIVEX).
4.不同类型插件名词解释
①下载ActiveX(ACTIVEX):
ActiveX插件也叫做OLE控件或OCX控件,它是一些软件组件或对象,可以将其插入到WEB网页或其它应用程序中.在因特网上,ActiveX插件软件的特点是:一般软件需要用户单独下载然后执行安装,而ActiveX插件是当用户浏览到特定的网页时,IE浏览器即可自动下载并提示用户安装.
ActiveX插件安装的前提是必须先下载,然后经过认证,最终用户确认同意方能安装,因此嵌有ActiveX脚本程序的页面可能会变得非常慢,甚至导致浏览器瞬间失去响应.
插件管理专家2005能够屏蔽用户不需要安装的插件程序,加快页面加载速度,确保用户正常浏览.
②浏览器辅助(BHO)
BHO全称Browser Helper Object, 是一种随因特网浏览器(如IE)每次启动而自动执行的小程序.通常情况下,一个BHO文件是由其它软件安装到用户的系统中的.例如一些带有下载功能的广告软件,它可能会安装一个BHO文件从而追踪用户在上网冲浪遇到的众多网页广告.
通常的BHO会帮助用户更方便地浏览因特网或调用上网辅助功能,也有一部分BHO被人称为广告软件(Adware)或间谍软件(Spyware),它们监视用户的上网行为并把记录的相关数据报告给BHO的创建者.BHO也可能会与其它运行中的程序发生冲突,从而导致诸如各种页面错误,运行时间错误等等现象,通常阻止了正常浏览的进行.
插件管理专家2005提供的BHO清理能够帮助用户查看并屏蔽被IE浏览器加载的BHO文件.
③搜索挂接(URL SEARCHHOOK)
用户在地址栏中输入非标准的网址,如英文字符或者中文的时候,当地址栏无法对输入字符串解释成功时,浏览器会自动打开一个以用户输入的字符串为搜索词的结果页面,帮助用户找到需要的内容.URLSearchhook对象就是完成搜索功能的插件.它通常是由第三方公司或者个人开发,通过插件的方式安装到浏览器上, 目的是为了帮助用户更好的使用互联网.例如用户在地址栏中输入"手机",就可以直接看到手机搜索结果.也有一些企业或者个人为了达到提高网站访问或其它商业目的,在用户不知情的情况下修改IE浏览器的URLSearchhook.
使用插件管理专家2005可以对URLSearchhook插件程序进行管理,屏蔽或者删除不需要的恶意插件.
④工具条(Toolbar)
工具条,通常指加载在浏览器的辅助工具.它位于浏览器标准工具条的下方,在IE工具栏空白处点击右键,可以查看所有已经安装的工具条,通过勾选显示或者隐藏已安装的工具条
软件
名称诠释
软件[software](中国大陆及香港用语,台湾作软体)是一系列按照特定顺序组织的计算机数据和指令的 *** ,按照特定顺序组织的电脑数据和指令的 *** 。
软件并不只是包括可以在计算机上运行的电脑程序,与这些电脑程序相关的文档一般也被认为是软件的一部分。简单的说软件就是程序加文档的 *** 体。
类型划分
一般来讲软件被划分为系统软件、应用软件。
其中系统软件包括操作系统和支撑软件。
系统软件
系统软件为计算机使用提供最基本的功能,可分为操作系统和支撑软件,其中操作系统是最基本的软件;
系统软件是负责管理计算机系统中各种独立的硬件,使得它们可以协调工作。系统软件使得计算机使用者和其他软件将计算机当作一个整体而不需要顾及到底层每个硬件是如何工作的。
1.操作系统是一管理电脑硬件与软件资源的程序,同时也是计算机系统的内核与基石。操作系统身负诸如管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作 *** 与管理文件系统等基本事务。操作系统也提供一个让使用者与系统交互的操作接口。★操作系统分为BeOS 、BSD 、DOS 、Linux 、Mac OS、OS/2 、QNX 、Unix、Windows等。
2.支撑软件是支撑各种软件的开发与维护的软件,又称为软件开发环境。它主要包括环境数据库、各种接口软件和工具组。著名的软件开发环境有IBM公司的Web Sphere,微软公司的Studio.NET等。★包括一系列基本的工具(比如编译器,数据库管理,存储器格式化,文件系统管理,用户身份验证,驱动管理, *** 连接等方面的工具)。
应用软件
但是系统软件并不针对某一特定应用领域。而应用软件则相反,不同的应用软件根据用户和所服务的领域提供不同的功能。
应用软件是为了某种特定的用途而被开发的软件。它可以是一个特定的程序,比如一个图像浏览器。也可以是一组功能联系紧密,可以互相协作的程序的 *** ,比如微软的Office软件。也可以是一个由众多独立程序组成的庞大的软件系统,比如数据库管理系统。
★较常见应用软件的有:
行业管理软件 :如电脑行业管理软件开龙IT200 商软ERP等
文字处理软件 :如Office、WPS等
信息管理软件 :如Assces数据库
辅助设计软件 :如AutoCAD、Photoshop
媒体播放软件:如暴风影音、豪杰超级解霸、Windows Media Player、RealPlayer等
系统优化软件:如windows优化大师、超级兔子魔法设置
实时控制软件 :
教育与娱乐软件 :
图形图像软件 :coreldraw ,painter,GIMP(linux下),3DS MAX,MAYA,softimage|xsi,lightwave,cineme 4d,Houdini
后期合成软件 :after effects,combustion,digital fusion,shake,flame
杀毒软件 :如卡巴斯基、瑞星、江民、金山毒霸等
软件开发
软件开发是根据用户要求建造出软件系统或者系统中的软件部分的过程。软件开发是一项包括需求捕捉,需求分析,设计,实现和测试的系统工程。软件一般是用某种程序设计语言来实现的。通常采用软件开发工具可以进行开发。软件:具有一定功能的各种电脑程序,称为软件。
操作系统软件
操作系统是一管理电脑硬件与软件资源的程序,同时也是计算机系统的内核与基石。操作系统身负诸如管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作 *** 与管理文件系统等基本事务。操作系统也提供一个让使用者与系统交互的操作接口。
木马 计算机病毒
合成动物有木马病毒吗
下载软件请到软件官网下载软件,也可以到各大应用商店中下载软件,若手机中存在木马或者病毒程序,请尝试按照以下步骤进行清除:
安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的病毒,点击一键清除即可删除,若提示无法删除请尝试获取ROOT权限后进行尝试。
都无法进行解决请尝试到手机品牌官网下载刷机包和工具对手机进行完整恢复,若无法自行处理请送到手机品牌官方售后进行维修。
什么是点脑病毒?如何防范计算机病毒和木马?
一种恶意计算机代码,可以破坏系统程序,占用空间,盗取账号密码。严重可以导致 *** 、系统瘫痪。详见计算机病毒
计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性,计算机病毒属于计算机软件
病毒
目录
计算机病毒
微博病毒
展开
编辑本段计算机病毒
概念
一种恶意计算机代码,可以破坏系统程序,占用空间,盗取账号密码。严重可以导致 *** 、系统瘫痪。详见计算机病毒
计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性,计算机病毒属于计算机软件
病毒名
由以下6字段组成的:主行为类型。子行为类型.宿主文件类型。主名称.版本信息。主名称变种号#附属名称.附属名称变种号。病毒长度。其中字段之间使用“.”分隔,#号以后属于内部信息,为推举结构。
病毒
目录
计算机病毒
微博病毒
展开
编辑本段计算机病毒
概念
一种恶意计算机代码,可以破坏系统程序,占用空间,盗取账号密码。严重可以导致 *** 、系统瘫痪。详见计算机病毒
计算机病毒具有寄生性、传染性、潜伏性、爆发性和破坏性,计算机病毒属于计算机软件
去除 ***
使用安
[巴尔的摩分类法是基于病毒mRNA的合成方式]
巴尔的摩分类法是基于病毒mRNA的合成方式
全的杀毒软件清除。
病毒名
由以下6字段组成的:主行为类型。子行为类型.宿主文件类型。主名称.版本信息。主名称变种号#附属名称.附属名称变种号。病毒长度。其中字段之间使用“.”分隔,#号以后属于内部信息,为推举结构。
主行为类型与病毒子行为类型
病毒可能包含多个主行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的主行为类型。同样的,病毒也可能包含多个子行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。
病毒主行为类型有是否显示的属性,用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系,见下表:
主行为类型子行为类型
Backdoor
危害级别:1
说明:
中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的 *** 禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm
危害级别:2
说明:
中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
危害级别:1
说明:通过邮件传播
IM
危害级别:2
说明:通过某个不明确的载体或多个明确的载体传播自己
MSN
危害级别:3
说明:通过MSN传播
***
危害级别:4
说明:通过OICQ传播
ICQ
危害级别:5
说明:通过ICQ传播
P2P
危害级别:6
说明:通过P2P软件传播
IRC
危害级别:7
说明:通过ICR传播
说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan
危害级别:3
说明:
中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的 *** 禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy
危害级别:1
说明:窃取用户信息(如:文件等)
PSW
危害级别:2
说明:具有窃取密码的行为
DL
危害级别:3
说明:下载病毒并运行
一、判定条款:
没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行。
二、逻辑条件引发的事件:
事件1..不能正常下载或下载的文件不能判定为病毒。
操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒
操作准则: 下载的文件是病毒,确定为:Trojan.DL
IMMSG
危害级别:4
说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
MSNMSG
危害级别:5
说明:通过MSN传播即时消息
*** MSG
危害级别:6
说明:通过OICQ传播即时消息
ICQMSG
危害级别:7
说明:通过ICQ传播即时消息
UCMSG
危害级别:8
说明:通过UC传播即时消息
Proxy
危害级别:9
说明:将被感染的计算机作为 *** 服务器
Clicker
危害级别:10
说明:点击指定的网页
判定条款:
没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:
该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer
危害级别:12
说明:通过拨号来骗取Money的程序
说明:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL
按照原来病毒名命名保留。
Notifier
按照原来病毒名命名保留。
Virus
危害级别:4
说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm
危害级别:5
说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper
危害级别:6
说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
一.Dropper判定条款:
没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
二.逻辑条件引发的事件:
事件1:。释放的文件不是病毒。
操作准则:释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2:释放的文件是病毒。
操作准则:释放的文件是病毒,确定该文件为:Droper
Hack
危害级别:无
说明:中文名称—“黑客工具”,是指可以在本地计算机通过 *** 攻击其他计算机的工具。
Exploit
说明:漏洞探测攻击工具
DDoser
说明:拒绝服务攻击工具
Flooder
说明:洪水攻击工具
说明:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam
说明:垃圾邮件。
Nuker
Sniffer
Spoofer
Anti
说明:免杀的黑客工具
Binder
危害级别:无
说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
Autorun
危害级别:9
说明:用U盘传播的系统文件(被利用)
这样的病毒杀毒软件查不出来
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
*** 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。
版本信息
版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client 说明:后门程序的控制端
KEY_HOOK 说明:用于挂接键盘的模块
API_HOOK 说明:用于挂接API的模块
Install 说明:用于安装病毒的模块
Dll 说明:文件为动态库,并且包含多种功能
(空) 说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。