系统曾经泄露过你的秘密
资讯
2024-01-25
184
网络是一个开放的空间,它在为网民工作生活带来便利的同时,也时刻威胁着网民的个人隐私,比如经常收到莫名其妙的邮件,这些邮件可能隐藏着木马或病毒,当用户不小心打开邮件的时候,可能就会被这些木马控制,盗取用户的信息。本文将介绍几种常见的木马和病毒及其清除方法,帮助用户认识这些隐藏的木马和病毒,保护用户的信息安全。
1.隐藏的木马和病毒
一旦计算机不小心被植入木马和病毒,计算机中的一切操作都将被监控,计算机中的隐私信息也就暴露了。为了避免中招,建议大家不要随意打开未经验证的网址和邮件,因为网站和邮件是木马及病毒的主要传播途径。
远程控制软件是具有隐蔽性入侵的黑客软件,因此,它被形象地称为木马。目前的木马
主要具备以下几种功能。
(1)修改注册表
木马在本机上运行后,控制端端口和木马(服务端)端口之间将会出现一条通道。控制端上的控制程序可借这条通道与服务端上的木马程序取得联系,任意修改服务端注册表,包括删除(新建或修改)主键、子键、键值。有了这项功能,控制端就可以禁止服务端光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽。
(2)文件操作
控制端可借由远程控制对服务端上的文件进行各种操作,如更改文件、新建文件、上传或下载文件,以及将对方的文件复制一份等操作。
(3)窃取密码
一切以明文的形式(***形式的密码)或缓存在 Cache 中的密码都能被木马侦测到。很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,从键盘输入的任何字符都被记录下来,所以一旦有木马入侵,密码将很容易被窃取。
(4)视频监控
打开对方的视频摄像头,远程查看摄像头捕获的画面,与公共场所的视频监控没有区别。
(5)屏幕监视
能够查看对方的计算机屏幕,对方操作计算机的整个过程,如浏览计算机编辑文档、聊天等,攻击者都能看到。
(6)远程终端
操作系统的命令提示符,方便用指令操作计算机,如新建系统、用户查看网络状态等。
常见的木马和病毒主要有网银木马、FTP木马、冰河木马、网游木马、AV 终结者病毒、熊猫烧香病毒和股票盗贼病毒等。这里介绍一下冰河木马、AV 终结者病毒及其清除方法。
1.冰河木马
冰河木马属于 Back Door 一类的黑客软件,实际上是一个小小的服务器程序(安装在要入侵的机器中),这个小小的服务端程序功能十分强大,通过客户端(安装在人侵者的机器中)的各种命令来控制服务端的机器,并可以轻松地获得服务端机器的各种系统信息。
冰河木马的服务端程序通常情况下会被植入一个有趣的游戏中、一个应用程序里或
伪装成一幅图片,伪装得十分巧妙,让人难以分辨。当用户不小心运行它们或打开这个图片时,就会运行这个木马程序。一旦计算机中了这个木马,就会被它控制。
冰河木马主要具有以下几种功能。
远程文件操作。包括创建(删除、上传、下载、复制)文件或目录、压缩文件、快速浏览文本文件、远程打开文件(包括以正常、最大化、最小化和隐藏4种方式打开)等多项文件操作功能。
记录各种口令信息。包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马 2.0 以上版本还提供了击键记录功能。
发送信息。以4种常用图标向被控端发送简短信息。
点对点通信。以聊天室形式与被控端进行在线交谈。
限制系统功能。包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
自动跟踪目标机屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕中。这个功能适用于局域网用户。
获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本,当前显示分辨率、物理及逻辑磁盘信息等多项系统数据,
注册表操作。包括对主键的浏览、增删、复制、重命名和对键值得读写等所有注册
表操作功能。
冰河木马在计算机中运行后,在 CA\Windows\system 目录下会自动生成 Kernel32.exe和 Sysexplr.exe 两个文件。其服务器端程序为 G-server.exe,客户端程序为 G-client.exe,默认连接端口为7626。在每次启动计算机后,Kernel32.exe 都会自动加载并运行,而 Sysexplr.exe文件自动和*.xt 文件关联,即使删除 Kemel32.exe,但只要运行了*.txt 文件,Sysexplr.exe又会被再次激活,进而又生成 Kernel32.exe。对这种木马进行查杀可采用如下方法进行操作。
首先,删除 C:\Windows\system 目录下的 Kemel32.exe 和 Sysexplr.exe 文件。由于冰河术马运行后,往往会在注册表 HKEY_LOCAL_MACHINE/software/microsoft/windows/Current Version\Run 创建键值 C:/windows/system/Kernel32.exe,因此,还需要用户删除该键值。再展开注册表中的 HKEY_LOCAL_MACHINE/sofware/microsof/windows/CurrentVersion/Runservices 项,删除键值 C:/windows/system/Kerne32.exe。
再将注册表 HKEY_CLASSES _ROOT/txtfile/shell/open/command 项下的键值 C:/windows/system/Sysexplr.exe %1 修改为 C:/windows/notepad.exe %1,即可恢复 TXT 文件关联功能。最后,将本机上的杀毒软件升级到最新版本,对整个系统进行全面杀毒。
2.AV 终结者病毒
AV 终结者名称中的AV是反病毒(Anti-Virus )的缩写(不要想太多我知道你想什么呢),它是一种反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,是一种具备木马和蠕虫等破坏性的病毒。AV终结者病毒主要通过U盘、移动硬盘的自动播放功能传播,它最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。
当这种病毒在本机上运行后,会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使重装系统也无法将病毒彻底清除。
计算机感染这种病毒,通常会出现以下几种常见的现象
不能正常显示隐藏文件,其目的是更好地隐藏自身不被发现。
禁用 Windows 自动更新和 Windows 防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
绑架安全软件,中毒后会发现几乎所有杀毒软件、系统管理工具、反间谍软件均不能正常启动。即使手动删除了病毒程序,下次启动这些软件时还会报错。
在本地硬盘、U 盘或移动硬盘生成autorun.inf 和相应的病毒程序文件,然后通过自动播放功能进行传播。很多用户格式化系统分区后重装系统,当访问其他磁盘时,系统就会立即再次中毒。
破坏系统安全模式,使用户不能启动系统到安全模式来维护和修复。
当计算机中了AV 终结者病毒时,用户可以利用AV 终结者专杀工具进行查杀。具体的操作步骤如下。
(1)在工作正常的计算机(非中AV 终结者病毒的计算机)上下载AV终结者专杀工具,并禁止自动播放功能,避免插入的U盘和移动硬盘感染病毒。
(2)单击开始控钮,在弹出的策单中选择运行命令,在弹出的运行时确框中输入gpedit.msc,即可打开本地组策略编辑器窗口。在窗口的左侧依次展开计算机配置/管理模板/系统选项,在窗口的右侧选择关闭自动播放选项。
(3)将AV 终结者专杀工具从工作正常的计算机中复制到中毒的计算机中,并运行该软件,设置好禁止自动播放功能。
(4)在主窗口中单击开始扫描按钮,即可对计算机中的病毒进行查杀,修复被坏的系统配置。查杀结束后,不要立即重新启动计算机,先将计算机中安装的杀毒软件的病毒库升级到最新版本,然后进行全盘扫描,查杀AV终结者下载的其他病毒后,再重新启动计算机。
木马和病毒能够在用户毫无防备的情况下侵入计算机,盗取用户的账号、密码等私人信息。因此,也要防备这些无形的杀手,以免信息泄露。在社会工程学的入侵中,木马不只局限于传统的黑客攻击,而是呈多样化的。心怀恶意的人可能会在公司账务部门的计算机中植入木马,以达到获取个人利益甚至商业窃密的目的。
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们删除!联系邮箱:ynstorm@foxmail.com 谢谢支持!
网络是一个开放的空间,它在为网民工作生活带来便利的同时,也时刻威胁着网民的个人隐私,比如经常收到莫名其妙的邮件,这些邮件可能隐藏着木马或病毒,当用户不小心打开邮件的时候,可能就会被这些木马控制,盗取用户的信息。本文将介绍几种常见的木马和病毒及其清除方法,帮助用户认识这些隐藏的木马和病毒,保护用户的信息安全。
1.隐藏的木马和病毒
一旦计算机不小心被植入木马和病毒,计算机中的一切操作都将被监控,计算机中的隐私信息也就暴露了。为了避免中招,建议大家不要随意打开未经验证的网址和邮件,因为网站和邮件是木马及病毒的主要传播途径。
远程控制软件是具有隐蔽性入侵的黑客软件,因此,它被形象地称为木马。目前的木马
主要具备以下几种功能。
(1)修改注册表
木马在本机上运行后,控制端端口和木马(服务端)端口之间将会出现一条通道。控制端上的控制程序可借这条通道与服务端上的木马程序取得联系,任意修改服务端注册表,包括删除(新建或修改)主键、子键、键值。有了这项功能,控制端就可以禁止服务端光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽。
(2)文件操作
控制端可借由远程控制对服务端上的文件进行各种操作,如更改文件、新建文件、上传或下载文件,以及将对方的文件复制一份等操作。
(3)窃取密码
一切以明文的形式(***形式的密码)或缓存在 Cache 中的密码都能被木马侦测到。很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,从键盘输入的任何字符都被记录下来,所以一旦有木马入侵,密码将很容易被窃取。
(4)视频监控
打开对方的视频摄像头,远程查看摄像头捕获的画面,与公共场所的视频监控没有区别。
(5)屏幕监视
能够查看对方的计算机屏幕,对方操作计算机的整个过程,如浏览计算机编辑文档、聊天等,攻击者都能看到。
(6)远程终端
操作系统的命令提示符,方便用指令操作计算机,如新建系统、用户查看网络状态等。
常见的木马和病毒主要有网银木马、FTP木马、冰河木马、网游木马、AV 终结者病毒、熊猫烧香病毒和股票盗贼病毒等。这里介绍一下冰河木马、AV 终结者病毒及其清除方法。
1.冰河木马
冰河木马属于 Back Door 一类的黑客软件,实际上是一个小小的服务器程序(安装在要入侵的机器中),这个小小的服务端程序功能十分强大,通过客户端(安装在人侵者的机器中)的各种命令来控制服务端的机器,并可以轻松地获得服务端机器的各种系统信息。
冰河木马的服务端程序通常情况下会被植入一个有趣的游戏中、一个应用程序里或
伪装成一幅图片,伪装得十分巧妙,让人难以分辨。当用户不小心运行它们或打开这个图片时,就会运行这个木马程序。一旦计算机中了这个木马,就会被它控制。
冰河木马主要具有以下几种功能。
远程文件操作。包括创建(删除、上传、下载、复制)文件或目录、压缩文件、快速浏览文本文件、远程打开文件(包括以正常、最大化、最小化和隐藏4种方式打开)等多项文件操作功能。
记录各种口令信息。包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马 2.0 以上版本还提供了击键记录功能。
发送信息。以4种常用图标向被控端发送简短信息。
点对点通信。以聊天室形式与被控端进行在线交谈。
限制系统功能。包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。
自动跟踪目标机屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕中。这个功能适用于局域网用户。
获取系统信息。包括计算机名、注册公司、当前用户、系统路径、操作系统版本,当前显示分辨率、物理及逻辑磁盘信息等多项系统数据,
注册表操作。包括对主键的浏览、增删、复制、重命名和对键值得读写等所有注册
表操作功能。
冰河木马在计算机中运行后,在 CA\Windows\system 目录下会自动生成 Kernel32.exe和 Sysexplr.exe 两个文件。其服务器端程序为 G-server.exe,客户端程序为 G-client.exe,默认连接端口为7626。在每次启动计算机后,Kernel32.exe 都会自动加载并运行,而 Sysexplr.exe文件自动和*.xt 文件关联,即使删除 Kemel32.exe,但只要运行了*.txt 文件,Sysexplr.exe又会被再次激活,进而又生成 Kernel32.exe。对这种木马进行查杀可采用如下方法进行操作。
首先,删除 C:\Windows\system 目录下的 Kemel32.exe 和 Sysexplr.exe 文件。由于冰河术马运行后,往往会在注册表 HKEY_LOCAL_MACHINE/software/microsoft/windows/Current Version\Run 创建键值 C:/windows/system/Kernel32.exe,因此,还需要用户删除该键值。再展开注册表中的 HKEY_LOCAL_MACHINE/sofware/microsof/windows/CurrentVersion/Runservices 项,删除键值 C:/windows/system/Kerne32.exe。
再将注册表 HKEY_CLASSES _ROOT/txtfile/shell/open/command 项下的键值 C:/windows/system/Sysexplr.exe %1 修改为 C:/windows/notepad.exe %1,即可恢复 TXT 文件关联功能。最后,将本机上的杀毒软件升级到最新版本,对整个系统进行全面杀毒。
2.AV 终结者病毒
AV 终结者名称中的AV是反病毒(Anti-Virus )的缩写(不要想太多我知道你想什么呢),它是一种反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,是一种具备木马和蠕虫等破坏性的病毒。AV终结者病毒主要通过U盘、移动硬盘的自动播放功能传播,它最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。
当这种病毒在本机上运行后,会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使重装系统也无法将病毒彻底清除。
计算机感染这种病毒,通常会出现以下几种常见的现象
不能正常显示隐藏文件,其目的是更好地隐藏自身不被发现。
禁用 Windows 自动更新和 Windows 防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
绑架安全软件,中毒后会发现几乎所有杀毒软件、系统管理工具、反间谍软件均不能正常启动。即使手动删除了病毒程序,下次启动这些软件时还会报错。
在本地硬盘、U 盘或移动硬盘生成autorun.inf 和相应的病毒程序文件,然后通过自动播放功能进行传播。很多用户格式化系统分区后重装系统,当访问其他磁盘时,系统就会立即再次中毒。
破坏系统安全模式,使用户不能启动系统到安全模式来维护和修复。
当计算机中了AV 终结者病毒时,用户可以利用AV 终结者专杀工具进行查杀。具体的操作步骤如下。
(1)在工作正常的计算机(非中AV 终结者病毒的计算机)上下载AV终结者专杀工具,并禁止自动播放功能,避免插入的U盘和移动硬盘感染病毒。
(2)单击开始控钮,在弹出的策单中选择运行命令,在弹出的运行时确框中输入gpedit.msc,即可打开本地组策略编辑器窗口。在窗口的左侧依次展开计算机配置/管理模板/系统选项,在窗口的右侧选择关闭自动播放选项。
(3)将AV 终结者专杀工具从工作正常的计算机中复制到中毒的计算机中,并运行该软件,设置好禁止自动播放功能。
(4)在主窗口中单击开始扫描按钮,即可对计算机中的病毒进行查杀,修复被坏的系统配置。查杀结束后,不要立即重新启动计算机,先将计算机中安装的杀毒软件的病毒库升级到最新版本,然后进行全盘扫描,查杀AV终结者下载的其他病毒后,再重新启动计算机。
木马和病毒能够在用户毫无防备的情况下侵入计算机,盗取用户的账号、密码等私人信息。因此,也要防备这些无形的杀手,以免信息泄露。在社会工程学的入侵中,木马不只局限于传统的黑客攻击,而是呈多样化的。心怀恶意的人可能会在公司账务部门的计算机中植入木马,以达到获取个人利益甚至商业窃密的目的。
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们删除!联系邮箱:ynstorm@foxmail.com 谢谢支持!
