本文目录一览:
- 1、网络木马病毒对人的危害
- 2、木马病毒是怎么回事呀?厉害马?怎么得的
- 3、病毒木马是通过什么传播的?如果我不下载任何东西有可能传染吗?
- 4、为什么会感染上木马?怎样防止感染上木马
- 5、木马会传染吗?
- 6、木马病毒对人身体有害
网络木马病毒对人的危害
木马病毒的危害
1、盗取我们的网游账号,威胁我们的虚拟财产的安全。 木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。 2、盗取我们的网银信息,威胁我们的真实财产的安全。 木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。 3、利用即时通讯软件盗取我们的身份,传播木马病毒。 中了此类木马病毒后,可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。 4、给我们的电脑打开后门,使我们的电脑可能被黑客控制。 如灰鸽子木马等。当我们中了此类木马后,我们的电脑就可能沦为肉鸡,成为黑客手中的工具。
木马病毒是怎么回事呀?厉害马?怎么得的
马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
病毒木马是通过什么传播的?如果我不下载任何东西有可能传染吗?
1. 通过硬件存储介质传播
前面讲过计算机病毒有自动复制传染的特性,所以如果U盘、MP3、SD卡、软盘、移动硬盘等移动存储设备如果接入感染了病毒的计算机后,其本身可能也会被感染病毒,如果再接入没有被感染病毒的计算机后,该计算机可能也会被传染病毒。
2. 通过局域网共享传播
前面提到了计算机的漏洞,微软的IPC共享就存在严重漏洞,许多病毒可以通过IPC默认共享自动感染局域网内的所有计算机。(我们在局域网内实现共享打印机、共享文件都是利用IPC来实现共享的)
3. 通过与应用软件捆绑传播
此种手段较为高明,木马制作者把木马程序捆绑到一个比较常用的应用软件上,比如Photoshop、QQ、Realplayer、Word等软件上,然后把这些捆绑了木马程序的应用软件放到互联网上提供给网友下载,当你下载下来安装这些软件的时候,被捆绑其上的木马也被你同时安装到自己的电脑中了,这一过程是不被你察觉的。
4. 通过电子邮件附件传播
木马制作者可以直接把木马程序作为附件发送给你,利用社会工程学的知识来骗你打开附件,比如说是你的同学,发给你一张新拍的照片,如果你信以为真,那可能就中计了。直接发送木马程序对于稍有网络安全意识的人来讲还是可以防范的,因为木马程序既然是应用程序,那么它的后缀名必定是.EXE。更高级的附件发送木马手法还是挺高明的,比如把木马程序的图标改为图片文件的图标或是Word文档的图标来进行鱼目混珠,还可以利用Word的宏命令直接把木马程序写入Word文档中,这样就更难察觉了。
5. 通过网页木马传播
什么是网页木马?答:网页木马就是利用计算机漏洞构造出的具有特殊功能的网页,当你打开此网页且你的计算机有此网页利用的漏洞时,你的电脑就会自动从指定的网址下载木马程序到你的电脑上并自动运行。这一切都是在隐蔽状态下进行的,对于你来说,你只不过就是打开了一个网页而巳,没有进行任何其它操作,但是你的电脑巳经中毒了。相对于其它传播手段而言,此种传播手段的传播效率最高!大约90%以上的木马程序都是通过网页木马来进行传播的。你也许会说你没有上什么不正规的网站,怎么也会中毒?事实上目前的许多网站都存在着各种各样的漏洞,黑客利用这些漏洞可以入侵网站,包括有名的网易、搜狐、新浪等大型知名网站都曾遭遇过黑客入侵而被篡改主页。黑客入侵网站后如果在这些网站的首页加上一段调用网页木马的代码,那么当你浏览这一网站时你就可能中了木马了。
6. 通过邮件网页木马传播
前面巳讲到什么是网页木马,那么邮件网页木马顾名思义就是通过邮件传播的网页木马了,木马制造者通过编辑电子邮件的源代码,可以发送一封网页格式的电子邮件给你,此种格式的邮件如果在源代码中加入调用网页木马的代码就称为邮件网页木马,此中邮件没有附件,你只要打开了这封邮就会中马,不需要进行其它任何操作!它相对于网页木马的优点在于可以发送到指定的邮箱指定目标进行攻击。
7. 通过影音文件网页木马传播
不知大家是否有过这样的经历,下载到一部自己喜爱的电影,正在观看时突然弹出来一个网页,这个网页就有可能是网页木马了(也有可能只是做广告),视频文件是可以添加事件的,可以让它在播放到指定时间时打开一个网页,如果打开的网页是网页木马,那么你的电脑从此就中毒了。此种木马常见于一些不正规的小网站提供的电影下载中或是BT等共享视频中。
为什么会感染上木马?怎样防止感染上木马
木马全称为特洛伊木马(Trojan Horse,英文则简称为Trojan)。此词语来源于古希腊的神话 故事 ,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将 木马 摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从 木马 中爬出来,与城外的部队里应外合而攻下了特洛伊城。
在 计算机 安全学中,特洛伊 木马 是指一种 计算机 程序,表面上或实际上有某种有用的功能,而含有隐藏的可以控制用户 计算机 系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上, 木马 也可以称为是 计算机 病毒 。
由于很多用户对 计算机 安全问题了解不多,所以并不知道自己的 计算机 是否中了 木马 或者如何删除 木马 。虽然现在市面上有很多新版杀毒 软件 都称可以自动清除 木马 病毒 ,但它们并不能防范新出现的 木马 病毒 (哪怕宣传上称有查杀未知 病毒 的功能)。而且实际的使用效果也并不理想。比如用某些杀毒 软件 卸载 木马 后,系统不能正常工作,或根本发现不了经过特殊处理的 木马 程序。本人就测试过一些经 编程 人员改装过的著名 木马 程序,新的查杀毒 软件 是连检查都检测不到,更不用说要删除它了(哪怕是使用的是的 病毒 库)。因此最关键的还是要知道特洛伊 木马 的工作原理,由其原理着手自己来检测 木马 和删除 木马 。用手工的方法极易发现系统中藏匿的特洛伊 木马 ,再根据其藏匿的方式对其进行删除。
二、 木马 工作的原理
在Windows系统中, 木马 一般作为一个网络 服务 程序在种了 木马 的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。当该 木马 相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。
既然是 木马 ,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把 Form的Visible属性调整为False,ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统 服务 程序就可以了。
好了,现在我们对 木马 的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络 服务 器运行,那么它就要乘 计算机 刚开机的时候得到运行,进而常驻内存中。想一想,Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢?你可能会想到“开始-程序-启动”中的项目!没错,这是Windows启动时要运行的东西,但要是 木马 服务 器程序明显地放在这就不叫 木马 了。
木马 基本上采用了Windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和 注册表 等。
在win.ini文件中,[WINDOWS]下面,“run=”和“load=”行是Windows启动时要自动加载运行的程序项目, 木马 可能会在这现出原形。必须要仔细观察它们,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目,那么你的 计算机 就可能中上 木马 了。当然你也得看清楚,因为好多 木马 还通过其容易混淆的文件名来愚弄用户。如AOL Trojan,它把自身伪装成command.exe文件,如果不注意可能不会发现它,而误认它为正常的系统启动文件项。
在system.ini文件中,[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorer.exe,而是“shell=Explorer.exe 程序名”,那么后面跟着的那个程序就是 木马 程序,明摆着你已经中了 木马 。现在有些 木马 还将explorer.exe文件与其进行绑定成为一个文件,这样的话,这里看起来还是正常的,无法瞧出破绽。
隐蔽性强的 木马 都在 注册表 中作文章,因为 注册表 本身就非常庞大、众多的启动项目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
上面这些主键下面的启动项目都可以成为 木马 的容身之处。如果是Windows NT,那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西,通过regedit等 注册表 编辑 工具 查看SAM主键,里面下应该是空的。
木马 驻留 计算机 以后,还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与 木马 服务 器端进行通信就必须得建立一连接(一般为TCP连接),通过相应的程序或 工具 都可以检测到这些非法网络连接的存在。具体如何检测,在第三部分有详细介绍。
三、检测 木马 的存在
知道 木马 启动运行、工作的原理,我们就可以着手来看看自己的 计算机 有没有 木马 存在了。
首先,查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。
1、查看system.ini文件
选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”
,如果不是这样,就可能中了 木马 了。下图所示为正常时的情况:
2、查看win.ini文件
选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空
3、查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,
极有可能就是 木马 了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都
屏蔽掉了
4、查看 注册表
由“开始-运行”,输入regedit,确定就可以运行 注册表 编辑器。再展开至:
“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己
不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的 木马 程序生成的
服务 器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery 木马 ,它会在 注册表 项
“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“CWINDOWSexpiorer.exe”, 木马 服务 器程序与系统自身的真正的Explorer之间只有一个字母
的差别!
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是 木马 了。正常情况下,该主键下面是空的。
当然在 注册表 中还有很多地方都可以隐藏 木马 程序,上面这些主键是 木马 比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为 木马 的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到 木马 程序的文件名,再通过其文件名对整个 注册表 进行全面搜索就知道它有几个藏身的地方了。
如果有留意, 注册表 各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是 木马 了。
4、其它方法
上网过程中,在进行一些 计算机 正常使用操作时,发现 计算机 速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是 木马 客户端在远程控制你的 计算机 。
如果怀疑你现在正在被 木马 控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:
由“开始-运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本 计算机 建立的连接。如下图所示:
显示出来的结果表示为四列,其意思分别为Proto: 协议 ,Local Address:本地地址,Foreign Address
:远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000
),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被
Foreign Address中表示的远程 计算机 所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非
法连接你 计算机 的 木马 客户端。
当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不
到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示 计算机 中目前处于监听状态的端口
。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI 协议 ):
如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络 服务 操作,那么在监听该
端口的就是特洛伊 木马 了!如下图所示的23456和23457端口都处于监听状态,很明显是 木马 造成的。
注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何
网络冲浪 软件 ,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。
四、删除 木马
好了,用上面的一些方法发现自己的 计算机 中了 木马 ,那怎么办?当然要将 木马 删除了,难道还要保留它!首先要将网络断开,以排除来自网络的影响,再选择相应的方法来删除它。
1、由 木马 的客户端程序
由先前在win.ini、system.ini和 注册表 中查找到的可疑文件名判断 木马 的名字和版本。比如“netbus”、“netspy”等,很显然对应的 木马 就是NETBUS和NETSPY。从网上找到其相应的客户端程序,下载并运行该程序,在客户程序对应位置填入本地 计算机 地址: 127.0.0.1和端口号,就可以与 木马 程序建立连接。再由客户端的卸除 木马 服务 器的功能来卸除 木马 。端口号可由“netstat -a”命令查出来。
这是最容易,相对来说也比较彻底载除 木马 的方法。不过也存在一些弊端,如果 木马 文件名给另外改了名字,就无法通过这些特征来判断到底是什么 木马 。如果 木马 被设置了 密码 ,既使客户端程序可以连接的上,没有 密码 也登陆不进本地 计算机 。当然要是你知道该 木马 的通用 密码 ,那就另当别论了。还有,要是该 木马 的客户端程序没有提供卸载 木马 的功能,那么该方法就没什么用了。当然,现在多数 木马 客户端程序都是有这个功能的。
2、手工
不知道中的是什么 木马 、无登陆的 密码 、找不到其相应的客户端程序、......,那我们就手工慢慢来删除这该死的 木马 吧。
用msconfig打开系统配置实用程序,对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中,将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”;编辑system.ini文件,将 [BOOT]下面的“shell=xxx”,更改为:“shell=Explorer.exe”。
用regedit打开 注册表 编辑器,对 注册表 进行编辑。先由上面的方法找到 木马 的程序名,再在整个 注册表 中搜索,并删除所有 木马 项目。由查找到的 木马 程序注册项,分析 木马 文件在硬盘中的位置(多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下)。启动到纯MS-DOS状态(而不是在Windows环境中开个MS-DOS窗口),用del命令将 木马 文件删除。如果 木马 文件是系统、隐藏或只读文件,还得通过“attrib -s -h -r”将对应文件的属性改变,才可以删除。
为保险起见,重新启动以后再由上面各种检测 木马 的方法对系统进行检查,以确保 木马 的确被删除了。
目前也有一些 木马 是将自身的程序与Windows的系统程序进行了绑定(也就是感染了系统文件)。比如常用到的Explorer.exe,只要 Explorer.exe一得到运行, 木马 也就启动了。这种 木马 可以感染可执行文件,那就更象 病毒 了。由手工删除文件的方法处理 木马 后,一运行 Explorer.exe, 木马 又得以复生!这时要删除 木马 就得连Explorer.exe文件也给删除掉,再从别人相同操作系统版本的 计算机 中将该文件 Copy过来就可以了。
木马会传染吗?
木马不传染,病毒传染,木马主要是盗取的密码及其他资料,而病毒是不同程度不同范围的影响电脑的使用,木马的作用范围是所有使用这台有木马的人在使用电脑时的资料,但是不会传染到其他机器,但是病毒可以随着软盘, U盘,邮件等传输方式或者媒介传染到其他机器.
严重不严重?我举个例子,你的机器中了木马,这个木马是盗取QQ密码的,那么只要有人在这台机器上登陆了自己的QQ,密码就会被盗.你觉得严重么?
电脑有了病毒,轻的话,就是影响你的电脑运行速度,或者是没完没了给你报各种垃圾信息,这都是小事情,重的,让你开不了机,你觉得严重么?
杀毒和杀木马要用不同的软件,比如金山毒霸,瑞星,诺顿,卡巴斯基这些软件是针对病毒的,但注意随时更新病毒库,而他们对木马无效.
杀木马的工具是专有的,比如金山的木马专杀,还有其他一些杀木马的工具,你也可以去搜索,但是,木马和病毒不同,有的时候即使用了这些软件也无法查杀一些木马,如果影响严重,只能重新做系统
木马病毒对人身体有害
愿我的答案 能够解决您的烦忧
对你的人体是没有任何危害的,但是对你的电脑危害就大了!
1,发现电脑中毒后,要第一时间按我说的办法杀毒才可以。
2,下载腾讯电脑管家“8.4”最新版,对电脑首先进行一个体检,打开所有防火墙避免系统其余文件被感染。
3,打开杀毒页面开始查杀,切记要打开小红伞引擎。
4,如果普通查杀不能解决问题,您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度
扫描。
5,查杀处理完所有病毒后,立刻重启电脑,再进行一次安全体检,清除多余系统缓存文件,避免二次感染。
如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢