《常见木马一览.doc》由会员分享,可在线阅读,更多相关《常见木马一览.doc(6页珍藏版)》请在金锄头文库上搜索。
1、1kb病毒:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。av终结者:1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。 3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。5. 破坏系统安全模式,使得用户不能启动系统到
2、安全模式来维护和修复6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装, 访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。9.病毒运行后,鼠标右击菜单以及下拉菜单选项,会在1到两秒钟时间后,自动选择最后一个选项,不过可以使用快捷方式组合。Global病毒:
3、病毒、木马特征:this computer is being attacked文件夹同名exe病毒:顾名思义熊猫烧香:病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案MSN性感相册
4、:病毒运行后,将创建下列文件:%WinDir%photos.zip, 479382字节%SystemDir%syshosts.dll, 22016字节 在注册表中添加下列启动项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadsyshosts = 71b1b601-4599-40ff-a283-73fc3c7de863这样,在Windows启动时,病毒就可以自动执行。其中syshosts.dll 文件会注入到当前所有进程中。Usp10.dll病毒:电脑突然间慢如“老牛”,硬盘中
5、同时出现了很多莫名其妙的“usp10.dll”文件,即便重装系统也无济于事。威金病毒:1、病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%rundl132.exe2、运行被感染的文件后,病毒将病毒体复制到为以下文件:%SystemRoot%logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒目录vdll.dll4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:_desktop.ini (文件属性:系统、隐藏。)5、病毒会尝试修改%SysRoot%system32driver
6、setchosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunload=C:WINNTrundl132.exeHKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload=C:WINNTrundl132.exe7、病毒运行时尝试查找窗体名为:RavMonClass的程序,查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名,查找到后终止其进程:Ravmon.exeEghost.exe
7、Mailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件:net stop Kingsoft AntiVirus Service10、发送ICMP探测数据Hello,World,判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接IPC、admin等共享目录,连接成功后进行网络感染。11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:systemsystem32windowsDocuments and settingssystem Volume InformationRecycledwinntP
8、rogram FilesWindows NTWindowsUpdateWindows Media PlayerOutlook ExpressInternet ExplorerComPlus ApplicationsNetMeetingCommon FilesMessengerMicrosoft OfficeInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gaming Zone12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:Explorer Iexplor
9、e找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:http:/www.17*.com/gua/zt.txt 保存为:c:1.txthttp:/www.17*.com/gua/wow.txt 保存为:c:1.txthttp:/www.17*.com/gua/mx.txt 保存为:c:1.txthttp:/www.17*.com/gua/zt.exe 保存为:%SystemRoot%0Sy.exehttp:/www.17*.com/gua/wow.exe 保存为:%SystemRoot%1Sy.exehttp:/www
10、.17*.com/gua/mx.exe 保存为:%SystemRoot%2Sy.exe注:三个程序都为木马程序14、病毒会将下载后的1.txt的内容添加到以下相关注册表项:HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWauto=1HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0=boot loader+ver_down1=boot loadertimeout=30operating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Wi
11、ndows XP Professional /ver_down2=default=multi(0)disk(0)rdisk(0)partition(1)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XP Professional / 15、威金病毒变种类型Worm/Viking.aof /病毒类型:蠕虫I-Worm/Warezov.fl /病毒类型:蠕虫Worm.Xiazaizhe.a /病毒类型:蠕虫Worm.Viking.ss /病毒类型:蠕虫Trojan/DDos.
12、Agent.r /病毒类型:木马setup.exe病毒 (Worm.Viking)sola病毒:病毒会感染用户近期打开过的DOC,TXT,JPG文件,使之全部变成EXE文件。在病毒执行次数累计超过50的时候,死亡问答便会被激活,同时锁定系统,删除NTLDR(全称是NT Loader,是系统加载程序)。若用户回答问题正确,病毒恢复NTLDR,并且进入自我清除模式。若用户回答失败,则需重装系统。随机八位数字字母组合病毒:所有杀毒软件打不开 杀毒软件无法安装,打开包含杀毒字眼的网页就被关闭,系统变慢,其他具体症状:1.破坏安全模式2.结束常见杀毒软件以及反病毒工具进程3.监控窗口4.关闭自动更新以及
13、Windows安全中心5.屏蔽显示隐藏文件6.下载木马7.IFEO映像劫持=病毒主要特征:=主要特征:C:Program FilesCommon FilesMicrosoft SharedMSInfo 33947F71.dll,CA785F1A.dat,c:windowshelpCA785F1A.chm三个随机名称文件 Gdwli32盗号木马:1.变名,变形,大量自我复制(bj*srl.dll gd*i32.dll addr* help.dll ,中间为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除2.不断重写注册表服务项和病毒服务文件(comint32.sys)并启动该服务,gdwli3
14、2.dll 通过启动其病毒服务注入各进程。3.隐蔽插入到其他程序进程,普通方式难以查杀。4.泄露用户隐私,盗窃网络财产帐号机器狗病毒pcihdd.sys pvc.exe Userinit.exe:病毒运行后会删除系统目录下的userinit.exe,并建立一个包含病毒的 userinit.exe,随系统每次启动时加载到系统中。文件运行后会在系统的SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下添加一系列反病毒软件和安全工具的键值,使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新,达到躲避查杀与侦测的目的。电脑无故Explorer.
