首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>网络安全>文章内容
2004年度几大典型木马病毒及反木马软件综述
来源:vfocus.net 作者:vfocus 发布时间:2005-01-16  

 
2004年度几大典型木马病毒及反木马软件综述
 

  众所周知,木马(特洛伊木马)是一种基于远程控制的黑客工具。与病毒不同,木马并不会自我繁殖,也不会去感染其他文件,其主要目的是盗窃你的帐号密码,打开你的电脑端口、让黑客能控制你。2004年以来国内木马数量激增,病毒制造者更倾向于制造、传播木马病毒,国内出现了用木马进行盗窃的犯罪活动,例如利用木马盗窃你的网游帐号密码、网上银行的资金,给许多朋友带来了巨大的经济损失。OK,下面我们来分篇介绍最新的典型木马及反木马软件,希望能给你查杀木马带来帮助!

本文主要内容
典型木马篇一、网游类木马1、传奇男孩
2、蜜蜂大盗
3、剑侠幽灵
二、广告类木马 MSN小尾巴
三、即时通讯类木马1、QQ 狩猎者
2、记事本幽灵
四、后门类木马1、灰鸽子
2、黑洞
3、安哥
五、网银类木马 网银大盗A
反木马软件篇 金山木马专杀工具金山木马专杀既是一个木马专杀工具,又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全。

  第一部份、 典型木马篇

  目前木马病毒数量众多(已达到了五位数),而且新木马及其变种还在源源不断地涌现,如果根据木马针对的领域划分,我们可以把2004年常出现的木马分成五大类:即网游类木马、广告类木马、通讯类木马、后门类木马、网银类木马。从危害范围来看,网游木马危害最为严重,其次是广告木马也包含恶作剧程序,再次是即时通讯木马,接下来危害也比较大的是后门木马病毒,排在最后的是网银木马。

  一、网游类木马

  如今国内网络游戏玩家众多,网上虚拟装备交易火爆,于是大批针对网络游戏的木马病毒涌现。这些木马盗窃网游的账号、密码及游戏装备,发送给它的主人,供木马使用者出售获利。其中危害最大的有传奇男孩、剑侠幽灵、蜜蜂大盗。

  1、传奇男孩(Troj.MirBoy)

  传奇男孩是针对传奇游戏的木马病毒,专门偷取用户的传奇账户与密码,发送到黑客指定的邮箱中。如今针对传奇游戏的木马病毒很多,而且不断出现新变种。这类木马刚开始偷账号,现在已经发展到能阻止杀毒软件的运行,传奇男孩就是其中的典型代表。

  该病毒侵入用户电脑后,会将自身拷贝到系统目录,然后在注册表中修改键值,以便系统启动时自动加载;它还会终止系统中各类反病毒软件,如天网防火墙,ZoneAlarm等。

  2、蜜蜂大盗(Win32.Troj.MiFeng70)

  该木马为冰枫工作室制作,偷窃以下软件的密码:QQ、传奇、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ,并将密码发到指定信箱。木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"\%VIRUSNAME%";对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"\%VIRUSNAME%" "%1";在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG。

  木马运行后硬盘会狂运作,监听UDP2222端口,监视杀毒软件木马克星、瑞星。木马通过http://ip.loveroot.com/showip.php获得感染机器的IP信息,会到http://freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=检查是否被注册。

  3、剑侠幽灵(Troj.JXGhost.a)

  随着“剑侠情缘”网络版在网络中的广泛流行,针对该游戏的木马病毒也随之而生,剑侠幽灵就是这类木马中的代表。

  该木马在网络中通过各种途径传播,窃取剑网玩家的帐号与密码,造成用户的隐私泄漏及系统的不稳定。木马感染系统后,会监视系统中剑网客户端的运行,记录玩家的帐号及密码,并发送给指定的Email地址。

  二、广告类木马

  msn小尾巴

  例如最近闹得沸沸扬扬的MSN小尾巴(worm.MsnFuny)就是这种木马,中毒后可以导致937个网站不能正常访问。该病毒同时具有蠕虫和木马特点。它利用MSN Messenger疯狂传播,使用多进程互相监视的方法来保护自己,这样无疑加大了手工清除的难度。

  该病毒运行后,仿照“QQ小尾巴”病毒方法,先发送一条网站的广告消息,,接着发一个病毒的副本,当用户不知情的情况下,运行了发送来的病毒副本,就会导致中毒。病毒在本机感染后会导致大量网站不可访问,非常恶毒。该病毒利用MSN疯狂传播,已经另很多网友中招。请用户注意不要轻易运行MSN上传来的程序。尤其是比较熟悉的好友发来的诸如“funny.exe”之类的程序。

  三、即时通讯类木马

  此类木马利用即时通讯工具(比如:QQ、MSN)进行传播。中毒后,你的电脑会下载病毒作者指定的任意程序,其危害不可确定,可导致用户的经济损失,有的还会制造恶作剧,中毒者向联系人发送“我今天要结婚”的恶作剧消息。此类木马中危害最大的有QQ 狩猎者、记事本幽灵。

  1、QQ 狩猎者(Troj.QQmsg)

  该木马会偷取传奇等游戏的密码,发送到指定的信箱中,还可以关闭某些防毒软件和网镖等防火墙。中了该木马后,IE主页将被修改为http://nv520.com/htm;当你用QQ聊天时,会自动发送如下消息:http://nv520.com/jpg刘得华同性恋被偷拍........春节到了,祝你万事如意身体健康http://nv520.com/serch.htm。。。

  木马运行后,复制两份病毒体到%SystemRoot%中,文件名为"sendmess.exe";在%SystemRoot%目录中生成文件"qq32.ini",在%System%目录生成文件"qqmess.dll";释放另一个传奇木马到"%SystemRoot%intrenat.exe","%System%qqmewf.exe","%System%WinSocks.dll";在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值"QQ"="%SystemRoot%sendmess.exe","intrenat"="%SystemRoot%intrenat.exe";在注册表主键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services中添加键值"intrenat"="%SystemRoot%intrenat.exe";在注册表主键HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中添加键值"Start Page"="http://nv520.com/htm"

  2、记事本幽灵(Win32.Troj.Axela.w)

  该病毒通过QQ聊天软件,自动向用户的好友发送含有病毒网址的消息,病毒网页上有一个flash文件,一旦你打开该网页就会自动下载病毒程序。

  病毒会在用户的电脑上生成文件%Windir%\System\windll.dll,其内容是:"AllJapanesArePigs",当病毒再次被运行后,将修改IE默认主页项,只要你打开IE,病毒就连接到指定的网站,干扰用户的正常工作。另外,用户每次打开文本文件时,都会运行该病毒,其进程名字为Oteped.exe和Taskmgr.exe,病毒伪装任务管理器程序,迷惑用户。

  四、后门类木马

  此类木马采用了反弹端口技术,防火墙对它们也不起作用。因为你的电脑中毒后,会主动连接黑客电脑的80端口,防火墙会认为你在浏览网页,不会加以阻止,因此你的防火墙就形同虚设。这样你的系统就完全暴露在黑客手中,黑客可以对用户进行远程文件和注册表的操作,捕获被控制电脑的屏幕,远程重启和关闭计算机,禁用系统热键和注册表编辑器。此类木马中危害最大的有灰鸽子、黑洞、安哥。

  1、灰鸽子(Hack.Huigezi)

  它自带文件捆绑工具,寄生再图片、动画等文件中,一旦你打开此类文件即可中招。此木马为内嵌式木马,使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行木马操作,打开你的8225端口,偷窃各种密码,监视你的一举一动。

  木马运行后,会见建立%systemroot%\system\mapis32a.dll文件,还会在system32.dll内生成一个系统文件(c:\windows\system32\vschost.exe)很像的文件svchost.exe,每次开机后这个文件被自动加载;如果和客户端上后svchost.exe每一个进程的线程数迅速增加到100个以上,此时系统运行速度非常慢。

  手工清除方法:首先要禁止它开机自动运行,点开始/运行,输入msconfig点确定,在系统配置实用程序中选“启动项”,然后把SVCHOST前面的勾去掉,点确定后退出;接下来在运行中输regedit 进入注册表,查找SVCHOST(注意是大写的),删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg,关机重启;最后运行TcpView,检查你的8225端口是否开着。

  2、黑洞(Backdoor/BlackHole.2004)

  黑洞病毒于2004年8月被截获,它可以窃取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等;可记录用户电脑的一切键盘输入,包括中英文输入,直接威胁用户的隐私安全。

  黑洞可按反弹端口方式进行连接,这样病毒能穿透一般防火墙、渗透到内部网络;它还自带IP数据库,当黑客与被感染机器建立连接后,即能看到用户所在的实际地理位置,使得黑客在挑选攻击对象时,能有所选择。类似国产冰河、灰鸽子等黑客控制软件,黑洞可以让黑客监控染毒的电脑,远程开启用户USB摄像头,并将其偷拍数据转换为Mpeg文件传给黑客观看,远程查看或关闭用户所有进程,非法观看远程桌面、远程重启关机,以及所有资源/文件,并可以控制上传下载。与“蜜蜂大盗”相比,该病毒功能更强,增加了通过麦克风,远程捕获用户声音的能力。

  该病毒运行后,将在感染的电脑上创建文件%WinDir%\server.exe(207982字节);在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加启动项:"111" = %WinDir%\server.exe这样系统启动时,病毒即自动执行。它可以用dll方式注入到任意进程(包括explorer.exe,IE浏览器,notepad.exe 等系统进程)中,具有更强的隐蔽性,而且病毒名、大小、隐藏路径都是不定的,这就给用户发现和查杀病毒带来困难。

  3、安哥(Hack.Agobot3.aw)

  该病毒兼具黑客和蠕虫的功能,利用IRC软件开启后门,等待黑客控制。它试图偷取被感染电脑内的正版软件序列号等重要信息,可造成计算机不稳定,出现计算机运行速度和网络传输速度极剧下降,复制、粘贴等系统功能不可用,OFFICE和IE浏览器软件异常等现象。

  该病毒运行后,将自身复制为%System%\scvhost.exe,在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值 "servicehost"="Scvhost.exe",在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicces中添加键值"servicehost"="Scvhost.exe"该病毒会中止许多知名反病毒软件和网络安全软件,利用RPC DCOM漏洞和WebDAV漏洞在网络中高速传播;使用内部包含的超大型“Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码表”猜口令的方式,重点攻击局域网中的计算机,感染整个局域网,造成网络瘫痪。

  防范对策:升级金山毒霸到最新的病毒库,或下载“安哥”专杀工具(下载地址 http://db.kingsoft.com/download/3/100.shtml);为系统打上MS03-026 RPC DCOM漏洞补丁(823980,下载地址http://support.microsoft.com/default.aspx?kbid=823980) 和MS03-007 WebDAV漏洞补丁(815021,下载地址http://support.microsoft.com/default.aspx?kbid=815021),并为系统管理员帐号设置一个更为强壮的密码。

  手工清除方法:WinXP用户右击“我的电脑”,选“属性”/系统还原,首先关闭系统还原功能;然后按Ctrl+Alt+Del调出任务管理器,单击“进程”打开进程管理器,找到名为scvhost.exe的进程,并将其结束;打开注册表,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,在右边的面板中, 找到并删除如下项目:"Enabledcom" = "irun4.exe";进入系统目录(\Winnt\System32或\Windows\System32),找到文件“irun4.exe”将它删除,注意清空回收站内的内容。

  五、网银类木马

  此类木马专门攻击网上银行,采用记录键盘和系统动作的方法,盗取网银的帐号和密码,并发送到作者指定的邮箱,直接导致用户的经济损失。目前国内针对网上银行的犯罪已经开始出现,例如今年某大学生利用网上银行盗取60多万人民币,几名中专生利用“网银大盗”木马盗窃网上银行用户资金,他们都是利用网银木马进行盗窃的。

  1、网银大盗A(Troj.KeyLog.a)

  “网银大盗”的木马病毒专门攻击中国工商银行的网上银行用户(使用数字IP地址登录的用户),盗取用户的账号和密码。

  网银大盗运行后会设置与IE的关联,只要你一打开IE,病毒即开始工作。病毒每隔0.5秒搜索用户的浏览器窗口,如果发现你正在工行网上银行的登录界面,就会自动转到数字IP地址页面,然后记录用户键入的帐号和密码,通过电子邮件发给病毒作者。

  工行之前为方便客户使用网上银行,曾提供了一种无安全认证的登陆页面(即数字IP地址页面)。该页面仅核对帐号和密码,不检查用户的数字证书,因此只要窃取了帐号和密码,即可从此处侵入网上银行。目前工行已经堵住了这个漏洞、取消了该登录页面,要求所有的网银用户都必须到工行网站下载数字证书,否则将不能登陆网上银行。

  2、防范对策

  网上大盗系列属于键盘记录类木马,虽然出现了很多变种,但运行机制大致相同,可以使用以下方法来加以防范:

  (1)、保管好自己的数字证书

  数字证书是提供给用户的,它是银行辨识客户身份的最终手段,要登录有安全认证的网上银行,必须帐号、密码、数字证书三者都对才行!你要把数字证书堪称存折一样,加以妥善保管,平时要放在最安全的地方,记住数字证书丢了,就是你的存折丢失!数字证书最好不要保存在硬盘里,应该放在移动存储器中,建议购买电子钥匙,当需要做网上银行业务时候,再连上电脑,认证之后马上移除。如果你能这样做你的网上银行应该是安全的!

  (2)、升级杀毒软件

  安装带有隐私信息保护的杀毒软件(例如KV2004、金山毒霸等),并升级到最新的病毒库,开启病毒实时监控系统,启动隐私信息保护监视功能。

  (3)、使用密码防盗工具

  安装使用密码防盗的工具,例如“噬菌体防盗专家”、眼睛专杀工具等。“噬菌体防盗专家”可以对内存中的代码进行动态伪装,使对方截获的“猎物”只是一团无法识别的乱码,从而保护你输入的密码。另外,当木马要把窃取的密码向外发送时,它也可以进行拦截,并反馈用于接收密码的对方邮件账号。

  第二部分:反木马软件篇

  机器中一旦有木马入侵,如果你想手工删除木马,难度还是很大的,这要求你对木马特别了解,而且要找到木马文件删除之,还要修改注册表中相关项。其实你可以使用专门的反木马软件,这是查杀木马最简单的方法。目前反木马软件数量众多,著名的有金山毒霸木马专杀、诺顿安全特警、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。

  金山毒霸木马专杀工具

  软件版本:2004.9.27.2
  软件大小:9.55 MB

  金山木马专杀既是一个木马专杀工具(可以查杀2万多种木马),又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。

  升级木马病毒库

  在查杀木马前,你应该先升级木马专杀的病毒库,以免病毒库版本低发现不了新木马,升级方法:从毒霸程序组中启动“金山毒霸木马专杀”,连上网,在打开的窗口中,单击“在线升级”按钮,打开升级向导窗口,然后按照向导提示,逐步完成木马病毒库的更新。

 



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·一句话木马
·samcrypt.lib简介
·教你轻松查看QQ空间加密后的好友
·web sniffer 在线嗅探/online ht
·SPIKE与Peach Fuzzer相关知识
·asp,php,aspx一句话集合
·Cisco PIX525 配置备忘
·用Iptables+Fedora做ADSL 路由器
·检查 Web 应用安全的几款开源免
·Md5(base64)加密与解密实战
·NT下动态切换进程分析笔记
·风险评估中的渗透测试
  相关文章
·浅谈gdb在漏洞发掘中的使用
·网络安全防范体系及设计原则
·2004 年终笑谈Virus
·数据库系统安全技术框架综述
·Securing Apache 2: Step-by-Ste
·perl脚本中的一些安全问题
·2005年网络安全方向的风向标-内
·Securing PHP: Step-by-step
·Securing MySQL: step-by-step
·用IIS+ASP建网站的安全性分析
·程序员的“十大安全技巧”
·怎样在SQL Server实例之间传输登
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved