ewido是一款强劲且技术专业的安全杀毒软件,它可以对病毒进行反查杀。能够迅速且合理的检验出注入式木马病毒,并迅速的将其清除。软件能够实时监测整个系统运行,并有着监测内存、内核自保护和在线升级功能。ewido中文版能够识别并清除63449种不同的黑客程序、木马程序和蠕虫程序、Dialers程序等病毒。欢迎大家前来下载。
木马是什么意思?
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
支持的系统
Microsoft Windows 2000 Professional
ewido anti-spyware英文版界面
ewido anti-spyware英文版界面
(Service Pack 4 或更高)
Microsoft Windows XP Home Edition
(Service Pack 2 或更高)
Microsoft Windows XP Professional
(Service Pack 2 或更高)
Microsoft Windows XP Professional x64 Edition
Intel Pentium 300 MHz 或更高(或相同级别)
128 MB内存Microsoft Windows Vista Home Basic (32或64位) Microsoft Windows Vista Home Premium
(32或64位) Microsoft Windows Vista Business
(32或64位) Microsoft Windows Vista Enterprise
(32或64位)
Microsoft Windows Vista Ultimate
木马原理分析与实现
1、密码发送型木马
密码发送型木马可以在受害者不知道的情况下把找到的所有隐藏密码发送到指定的信箱,从而达到获取密码的目的,这类木马大多使用25端口发送E-mail。
2、键盘记录型木马
键盘记录型木马主要用来记录受害者的键盘敲击记录,这类木马有在线和离线记录两个选项,分别记录对方在线和离线状态下敲击键盘时的按键情况。
3、破坏性木马
顾名思义,破坏性木马唯一的功能就是破坏感染木马的计算机文件系统,使其遭受系统崩溃或者重要数据丢失的巨大损失。
4、代理木马
代理木马最重要的任务是给被控制的“肉鸡”种上代理木马,让其变成攻击者发动攻击的调版。通过这类木马,攻击者可以在匿名情况下使用Tenlet、ICO、IRC等程序,从而在入侵的同时隐蔽自己的足迹,谨防别人发现及自己的身份。
5、FTP木马
FTP木马的唯一功能就是打开21端口并等待用户连接,新FTP木马还加上了密码功能,这样只有攻击者本人知道正确的密码,从而进入对方的计算机。
6、反弹端口型木马
反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,正好与一般木马相反,木马定时检测控制端的存在,发现控制端上线立刻弹出主动连接领控制端打开的端口。
7、控制端的被动端口一般开在80(这样比较隐藏),即使用户使用端口扫描软件检查自己的端口,发现的也是类似的情况,想必没有哪个防火墙会不让用户向外连接80端口。
木马基础知识学习
1、破坏型惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。
2、密码发送型可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。在这里提醒一下,不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中,那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWSAPI函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入和出确认重新输入窗口,通过按钮标题查找我们应该单击的按钮,通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。在过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。此类程序在黑客网站上唾手可得,精通程序设计的人,完全可以自编一个。
3、远程访问型最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。程序中用的UDP(UserDatagramProtocol,用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同,它是一种非连接的传输协议,没有确认机制,可靠性不如TCP,但它的效率却比TCP高,用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端,只区分发送端和接收端,编程上较为简单,故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP
控件。
4、键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号哦!当然,对于这种类型的木马,邮件发送功能也是必不可少的。
5、DoS攻击木马随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
6、代理木马黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
7、FTP木马这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。
木马分析与防范
1.安装杀毒软件和个人防火墙,并及时升级。
2.把个人防火墙设置好安全等级,防止未知程序向外传送数据。
3.可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
4.如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
5.不要执行任何来历不明的软件
6.不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的,而且有的还会连环扩散,因此对邮件附件的运行尤其需要注意。
7.重新选择新的客户端软件
木马文件后缀是什么?
绝大部分的病毒扩展名是exe,有的脚本病毒的扩展名为VBS、VBE、JS、JSE、WSH、WSF。还有WORD文件(以DOC作为扩展名)也会携带病毒。 但其实很多病毒会在它真正的扩展名前添加其他的后缀来迷惑用户,如.jpg,.txt等,稍不注意就会中招,防范这招的方法就是使文件显示真正的扩展名,具体方法是:打开任意一个文件夹,选择“工具--文件夹选项--查看”,把“隐藏已知文件类型的扩展名”前的钩去掉。病毒的命名规则 病毒的命名并没有一个统一的规定,每个反病毒公司的命名规则都不太一样,但基本都是采用前、后缀法来进行命名的,可以是多个前缀、后缀组合,中间以小数点分隔,一般格式为:〔前缀〕.〔病毒名〕.〔后缀〕 1.病毒前缀 病毒前缀是指一个病毒的种类,我们常见的木马病毒的前缀是“trojan”,蠕虫病毒的前缀是“worm”,其他前缀还有如“macro”、“backdoor”、“script”等。
2.病毒名 病毒名是指一个病毒名称,如以前很有名的cih病毒,它和它的一些变种都是统一的“cih”,还有振荡波蠕虫病毒,它的病毒名则是“sasser”。
3.病毒后缀 病毒后缀是指一个病毒的变种特征,一般是采用英文中的26个字母来表示的,如 “worm.sasser.c”是指振荡波蠕虫病毒的变种c。如果病毒的变种太多了,那也可以采用数字和字母混合的方法来表示病毒的变种。 病毒的命名解释
1.木马病毒 木马病毒的前缀是:trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏,然后再向外界泄露用户的信息。一般的木马如qq消息尾巴trojan.qqpsw.r,网络游戏木马病毒trojan.startpage.fh等。病毒名中有psw或者什么pwd之类的是表示这个病毒有盗取密码的功能,所有这类病毒特别需要注意。
2.脚本病毒 脚本病毒的前缀是:script。脚本病毒是用脚本语言编写,通过网页进行的传播的病毒,如红色代码script.redlof等。有些脚本病毒还会有 vbs、html之类的前缀,是表示用何种脚本编写的,如欢乐时光vbs.happytime、html.reality.d等。
3.系统病毒 系统病毒的前缀为:win32、pe、win95、w32、w95等。这些病毒的特点是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播,如以前有名的cih病毒就属于系统病毒。
4.宏病毒 宏病毒也可以算是脚本病毒的一种,由于它的特殊性,因此就单独算成一类。宏病毒的前缀是:macro,第二前缀有word、word97、excel、 excel97等,根据感染的文档类型来选择相应的第二前缀。该类病毒的特点就是能感染office系列的文档,然后通过office通用模板进行传播,如以前著名的美丽莎病毒macro.melissa。
5.蠕虫病毒 蠕虫病毒的前缀是:worm。这种病毒的特点是可以通过网络或者系统漏洞来进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性,大家比较熟悉的这类病毒有冲击波、震荡波等。 6.捆绑机病毒 捆绑机病毒的前缀是:binder。病毒作者会使用特定的捆绑程序把病毒与一些应用程序(如qq等大家常用的软件)捆绑起来,表面上看去是个正常的文件,但当用户运行这些应用程序时,也同时运行了被捆绑在一起的病毒文件,从而给用户造成危害。如系统杀手binder.killsys。
7.后门病毒 后门病毒的前缀是:backdoor。该类病毒的特点就是通过网络传播来给中毒系统开后门,给用户电脑带来安全隐患。如爱情后门病毒worm.lovgate.a/b/c。关于木马程序的识别、预防及清除方法 IT168 对于木马,我们大家基本都听说过,但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。下面我们就围绕这几点进行一些介绍。 一:通过病 毒名称识别木马 世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:
木马簿怎么杀彻底?
木马杀不掉一般是由于木马病毒正在运行,或者有其他的病毒进程守护,回写造成的。如果遇到rootkit这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了。请打开360系统急救箱自定义全盘扫描,查杀一遍,查杀完成后重启电脑。 然后再打开360系统急救箱,选择修复功能(修复选项可全选),立即修复
