對於木馬,我們大家基本都聽說過,但怎樣識別木馬、怎樣避免自己的機子被種植木馬以及怎樣清除種植了的木馬對有些朋友來說也許就比較陌生了。下面我們就圍繞這幾點進行一些介紹。
一:通過病毒名稱識別木馬
世界上那麼多的病毒,反病毒公司為了方便管理,他們會按照病毒的特性,將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣,但大體都是采用一個統一的命名方法來命名的。一般格式為:<病毒前綴>.<病毒名>.<病毒後綴> 。
木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網絡或者系統漏洞進入用戶的系統並隱藏,然後向外界洩露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網絡游戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫),一些黑客程序如:網絡枭雄(Hack.Nether.Client)等。
二:了解木馬種植方式才能防止別人種植木馬
目前常見的木馬種植方式有以下幾種:
1.網吧種植
這個似乎在以前很流行,先關閉網吧的放火牆,再安裝木馬客戶端,立刻結帳下機,注意,重點是不要重起機器,因為現在網吧都有還原精靈,所以在不關機器的情況下,木馬是不會給發現的。因此,在網吧上網,首先要重起機器,其次看看殺毒軟件有沒有打開。最後建議,不要在網吧打開有重要密碼的東西,如網絡銀行等。畢竟現在木馬客戶端躲避防火牆的能力很強,其次是還存在其他的病毒。
2.通訊軟件傳送
發一條消息給你,說,“這個我的照片哦,快看看。”當你接受並打開的時候,你已經中了木馬了。(此時,你打開的文件好象“沒有任何反應”)“她”可能接著說說:“呀,發錯了。再見。”防御:不要輕易接受別人傳的東西,其次是打開前要用殺毒軟件查毒。
3.恐怖的捆綁
捆綁軟件現在很多,具體使用就是把木馬客戶端和一個其他文件捆綁在一起(拿JPG圖象為例),你看到的文件可能是.jpg,圖標也是正常(第2條直接傳的木馬客戶端是個windows無法識別文件的圖標,比較好認),特別是現在有些捆綁軟件對捆綁過後的軟件進行優化,殺毒軟件很難識別其中是否包含木馬程序。建議:不要打開陌生人傳遞的文件。特別是圖象文件。
4.高深的編譯
對木馬客戶程序進行編譯。讓木馬更加難以識別。
5.微妙的網頁嵌入
將木馬安裝在自己的主頁裡面,當你打開頁面就自動下載運行。“你中獎了,請去**.com領取你的獎品”,黑客可能這麼和你說。建議:陌生人提供的網頁不要打開,不要去很奇怪名字的網站。及時升級殺毒軟件。 三:電腦被種植了木馬的症狀
在使用計算機的過程中如果您發現以下現象,則很有可能是被種植了“木馬”: a. 計算機反應速度明顯變慢 b. 硬盤在不停地讀寫 c.鍵盤、鼠標不受控制 d.一些窗口被無緣無故地關閉 e.莫名其妙地打開新窗口 f.網絡傳輸指示燈一直在閃爍 g.沒有運行大的程序而系統卻越來越慢 h.系統資源占用很多 i運行了某個程序沒有反映(此類程序一般不大,從十幾k到幾百k都有) j.在關閉某個程序時防火牆探測到有郵件發出 k.密碼突然被改變,或者他人得知您的密碼或私人信息 l.文件無故丟失,數據被無故刪改
四:幾種常見木馬的清除方法
一旦我們的電腦被種植了木馬,我們應選擇一款針對木馬的殺毒軟件進行清除,同時,我們也可以手工清除木馬程序。下面我們介紹幾種常見木馬的手工清除方法,通過手工清除木馬的介紹,我們可以對木馬有一個更好的了解。
1,洛伊木馬TROJ_QAZ.A
1、單擊“開始│運行” 鍵入:Regedit,按Enter鍵
2、找到注冊鍵:
HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
3、在右邊的窗口中,找出任何包含下列數據的注冊鍵值: startIE=XXXXNotepad.exe
4、在右邊的窗口中,選中該鍵值,按刪除鍵後再選是,刪除該值。 退出注冊表修改。 單擊 “開始│關閉系統”,選擇“重啟動”後單擊“是”。
5、重命名Note.com為Notepad.exe。
2,冰河v1.1 v2.2
這是國產最好的木馬 作者:Snokebin
1.清除木馬v1.1
打開注冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
查找以下的兩個路徑,並刪除
" C:/windows/system/ kernel32.exe"
" C:/windows/system/ sysexplr.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除C:/windows/system/ kernel32.exe和C:/windows/system/ sysexplr.exe木馬程序
重新啟動。
2.清除木馬v2.2
服務器程序、路徑用戶是可以隨意定義,寫入注冊表的鍵名也可以自己定義。
因此,不能明確說明。
你可以察看注冊表,把可疑的文件路徑刪除。
重新啟動到MSDOS方式
刪除於注冊表相對應的木馬程序
重新啟動Windows。
3,Trojan.QQ3344
1.在運行中輸入MSconfig,如果啟動項中有“Sendmess.exe”和“wwwo.exe”這兩個選項,將其禁止。在C:/WINDOWS一個叫qq32.INI的文件,文件裡面是附在QQ後的那幾句廣告詞,將其刪除。轉到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個文件刪除。
2.隨時升級殺毒軟件。
3.安裝系統漏洞補丁
由病毒的播方式我們知道,“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的,即使不執行病毒文件,病毒依然可以借由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。
iFrame漏洞補丁地址:
五:對木馬綁定文件的剝離方法
當我們需要的一款文件被發現綁定了木馬程序,而我們又需要這款原文件時,我們可以采取下面的方法進行文件剝離。
第一步:用UltraEdit的十六進制方式打開綁定程序,選中第二個MZ到第三個MZ之間的內容(即第二個文件),將該部分復制。然後新建一個文件,粘貼,保存為EXE文件。
第二步:選中第三個MZ至文件末尾之間的內容(即第三個文件),同樣復制,新建文件後粘貼、保存為EXE文件。
第三步:現在你要通過檢查兩個文件的圖標及大小來判斷哪個文件是所需的正常程序。一般來說,,所需程序文件與捆綁後的圖標一致,且文件體積較大的那個文件就是我們所要的原文件。
六:總結
防范木馬首先應在自己的電腦中安裝一款合適的防殺病毒軟件並及時升級,同時在日常工作中不要打開未知文件以及陌生人傳來的文件,不要隨便打開陌生網頁,升級最新版本的操作系統。