一、「灰鴿子」
病毒名稱:backdoor/huigezi
病毒中文名:「灰鴿子」
病毒型別:後門
影響平台:win9x/me/nt/2000/xp
描述:backdoor/huigezi.**「灰鴿子」是乙個未經授權遠端訪問使用者計算機的後門。
以「灰鴿子」變種cm為例,該變種執行後,會自我複製到系統目錄下。修改登錄檔,實現開機自啟。偵聽黑客指令,記錄鍵擊,盜取使用者機密資訊,例如使用者撥號上網口令,url密碼等。
利用掛鉤api函式隱藏自我,防止被查殺。另外,「灰鴿子」變種cm可**並執行特定檔案,傳送使用者機密資訊給黑客等。
手工清除方法:
對於灰鴿子的檢測仍然是有規律可循的。從上面的執行原理分析可以看出,無論自定義的伺服器端檔名是什麼,一般都會在作業系統的安裝目錄下生成乙個以「_結尾的檔案。通過這一點,我們可以較為準確手工檢測出灰鴿子木馬。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入windows啟動畫面前,按下f8鍵(或者在啟動計算機時按住ctrl鍵不放),在出現的啟動選項選單中,選擇「safemode」或「安全模式」。
1、由於灰鴿子的檔案本身具有隱藏屬性,因此要設定windows顯示所有檔案。開啟「我的電腦」,選擇選單「工具」—》「資料夾選項」,點選「檢視」,取消「隱藏受保護的作業系統檔案」前的對勾,並在「隱藏檔案和資料夾」項中選擇「顯示所有檔案和資料夾」,然後點選「確定」。
2、開啟windows的「搜尋檔案」,檔名稱輸入「_搜尋位置選擇windows的安裝目錄(預設98/xp為c:\\windows,2k/nt為c:\\winnt)。
3、經過搜尋,我們在windows目錄(不包含子目錄)下發現了乙個名為*****_的檔案。
4、根據灰鴿子原理分析我們知道,如果*****_是灰鴿子的檔案,則在作業系統安裝目錄下還會有*****.exe和*****.dll檔案。
開啟windows目錄,果然有這兩個檔案,同時還有乙個用於記錄鍵盤操作的*****檔案。
5、開啟登錄檔編輯器(點選「開始」-》「執行」,輸入「確定。),開啟hkey_local_machine\\system\\currentcontrolset\\services登錄檔項。
6、點選選單「編輯」-》「查詢」,「查詢目標」輸入「*****.exe」,點選確定,我們就可以找到灰鴿子的服務項(此例為*****_server)。
7、刪除整個*****_server項。
二、「傳奇竊賊」
病毒名稱:trojan/
病毒中文名:「傳奇竊賊」
病毒型別:木馬
危險級別:★
影響平台:win9x/2000/xp/nt/me
描述:傳奇竊賊是專門竊取網路遊戲「傳奇2」登入帳號密碼的木馬程式。該木馬執行後,主程式檔案自己複製到系統目錄下。
修改登錄檔,實現開機自啟。終止某些防火牆、防毒軟體程序。病毒程序被終止後,會自動重啟。
竊取「傳奇2」帳號密碼,並將盜取的資訊傳送給黑客。
手動清除方法:
它會在%windir%目錄下生成的檔案也很迷惑人,與就差乙個副檔名(如圖2)。病毒經過upx加殼處理,脫掉後可以看出是用visualc++6.0編寫的。
1、先再任務管理器中結束程序,注意:是而不是
2再將每個硬碟分割槽根目錄下和兩個檔案刪除掉,注意:刪除後就不要再開啟這個分割槽了,否則會再次感染。
3刪除%windir%\\檔案(注:windowsxp系統在c:\\windows\\系統在c:\\winnt\\
4最後在登錄檔中刪除
\"net\"=%windir%\\
\"load\"=%windir%\\
這兩個鍵值,這樣病毒就不會隨這機器開機執行了。
三,高波和瑞波
高波: backdoor/agobot.** 「高波」主要利用網路弱密碼共享進行傳播的後門程式。
該後門程式還可利用微軟dcomrpc漏洞提公升許可權,允許黑客利用irc通道遠端進入使用者計算機。該程式執行後,程式檔案自我複製到系統目錄下,並修改登錄檔,以實現程式的開機自啟。開啟黑客指定的tcp埠。
連線黑客指定的irc通道,偵聽黑客指令。
瑞波:該病毒經過多層壓縮加密殼處理,可以利用多種系統漏洞進行傳播,感染能力很強。中毒計算機將被黑客完全控制,成為\"殭屍電腦\"。
由於此病毒會掃瞄感染目標,因此可以造成區域網擁堵。
高波:第一種1、自動清除:斷開網路,公升級防毒軟體對電腦進行全盤掃瞄。
2、高波手工清除:打好微軟ms03-007、ms03-026、ms04-011、ms04-031補丁,在系統目錄下找到病毒檔名為並將其刪除。
第二種1、進入任務管理器,結束和程序,然後開啟資源管理器,進入c:\\windows\\system32目錄,查詢和兩檔案,將其刪除。在系統啟動專案(開始》執行》msconfig進入)中去掉其相應的載入啟動項。
然後安裝防毒軟體,公升級病毒庫後進行防毒。接著安裝相應windowsxp或windows2000的補丁程式,重啟系統。
2、如果按如上的方法不能清除病毒,可以從安全模式下進行處理,方法如下:在安全模式下,開啟登錄檔,在「編輯」中「查詢」「和「刪除找到的「和「專案。檢視windows\\system32目錄下是否有和這兩個檔案,有則刪除。
最後防毒、打補丁並重啟計算機。
3、該病毒具有密碼庫,能夠破解機子的一些較簡單的密碼(密碼僅包含數字或26個字母稱為簡單密碼),尤其是對於windows2000系統,往往剛殺完病毒後又染上該病毒了。所以建議在防毒的過程中最好斷開網路連線,確定殺完病毒和打好補丁(ms03-007、ms03-026、ms04-011、ms04-031補丁)後,為機子重設乙個複雜的密碼(密碼包含問號,點號等特殊符號)。
瑞波:手工清除:在系統目錄下找到病毒檔案在登錄檔中找到鍵值將其刪除。打上微軟ms03-007、ms03-026、ms04-011、ms04-031四個漏洞補丁
四、「chm木馬」
病毒名稱:
病毒中文名:「chm木馬」
病毒型別:木馬、指令碼
危險級別:★★
影響平台:windows98/me/nt/2000/xp/2003
描述:利用ie瀏覽器mhtml跨安全區指令碼執行漏洞(ms03-014)的惡意網頁指令碼,自從2023年以來,一直是國內最為流行的種植網頁木馬的惡意**型別,2023年下半年,氾濫趨勢稍有減弱,2023年上半年的感染數量仍然很大,沒有短期內消亡的跡象。
手工清除方法:
打上微軟ms03-014和ms04-023系統漏洞補丁,找到以下病毒和配置檔案並將其刪除:
%systemdir%\\dllcache\\節,病毒配置檔案
%systemdir%\\dllcache\\節,病毒程式
%systemdir%\\dllcache\\節,病毒配置檔案
%systemdir%\\dllcache\\節,病毒模組
%systemdir%\\dllcache\\節,病毒模組
%systemdir%\\dllcache\\節,病毒模組
在登錄檔中定位到鍵值,並將該鍵值刪除:
[hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run]\"phantom\"=%systemdir%\\dllcache\\
五、「qq大盜」
病毒名稱:trojan/qqpass
病毒中文名:「qq大盜」
病毒型別:木馬
危險級別:★
影響平台:win9x/2000/xp/nt/me
描述:trojan/是用delphi編寫並經過壓縮的木馬,用來竊取遊戲\"傳奇\"資訊。
傳播過程及特徵:
1.建立下列檔案:
%system%\\節
%windir%\\節
2.修改登錄檔:
\"intren0t\"=%windir%\\
灰鴿子教程
現做個簡易的攻略給你吧,本人鄙視盜版.首先自動上線那一欄,去申請乙個ftp的帳戶,然後在鴿子那相應填寫得到的ftp網域名稱和ftp上傳帳號 注意 是上傳賬號,不是登陸賬號,上傳賬號一般只是4 5位數字 和ftp登陸密碼,如圖 相應都填寫好了之後點選 更新ip到ftp 空間 配置正確的話就會顯示 ft...
職秘企雲 面試放鴿子的10大最奇葩理由 HR們受夠了
職秘企雲 面試放鴿子的10大最奇葩理由!hr們受夠了!我沒法打 取消面試,因為我的iphone手機丟了。我沒法參加面試了,因為昨天半夜正睡覺的時候,膝上型電腦突然 了,這給我留下了嚴重的精神創傷。我沒法去參加面試,因為我不小心把一些杏梅醬撒在了本打算面試時穿的衣服上,如果穿其他衣服,我就會沒有自信的...
高一複習 10等比數列
第十講等比數列 一 知識回顧 1 等比數列定義即n 2,n n 這個數列就叫做等比數列,這個常數就叫做等比數列的公比 常用字母 表示 2 等比數列的通項公式 3 等比數列前n項和公式 4 等比中項 如果,成等比數列,那麼叫做與的等比中項。其中 為,的等比中項 5 等比數列的性質 已知數列是等比數列,...