本文目录一览:
木马是哪种病毒
嗯~~~ 木马有几种 看看你是想第几个了
现在木马有第六代了 越来越强 = = 我每天烦恼的事
第一个就是 网络游戏木马 通常就是发邮件过来的 以及生成器会释放大量木马 (简称是后门病毒)
第二种是网银木马 是根据网上交易而改篇的木马(改程病毒)
第三种就是通讯木马 通常就是在聊天时候会控制窗口来使你的电脑被控制(好像是叫定制病毒)
第四种是网页点击病毒 就是点击一个网页平面开始释放 小型病毒 = =但是很恐怖 (页面病毒)
第五种就是下载病毒 是下载的时候携带病毒 打开便释放病毒 有威胁性(这个忘记了)
第六个是代理病毒 是利用黑客的用户是用互联网进入到电脑 取代你的用户(黑户病毒)
木马都基本是由特洛伊木马演变的 慢慢的病毒会出到第七第八代 所以加强保护是很有必要的
谁知道名为Trojan.Agent.gz的病毒用什么方法才能杀掉?
木马克星应该就可以
下载地址
手工也可以
手工清除rose病毒
病毒名称:代理木马变种GZ (Trojan.Agent.gz)
病毒类型:木马病毒
病毒危害级别:★★★
病毒发作现象及危害:
病毒采用Visual Basic语言编写。该病毒会通过U盘、移动硬盘等进行传播,会试图记录用户的键盘输入信息,从而盗取用户的网络游戏、QQ、银行卡账号等隐私信息,并发送给黑客。由于其传播机制,目前在学校机房、网吧等小型局域网络中传播较广。
手工删除:
一、清除内存中的病毒
在任务管理器中找到所有名为“rose.exe”的进程,单击鼠标右键,选择“结束进程”。
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、在“我的电脑”中用鼠标右键点击“C:”盘,选择“打开”,注意此处一定不要双击盘符打开磁盘!
3、删除掉C盘根目录下的“autorun.inf”和“rose.exe”文件。如果根目录下存在“system32”文件夹也将其一并删除。如果提示文件不能被删除,请重新打开任务管理器查看是否已经结束掉了所有“rose.exe”进程。
4、如果计算机上还存在其它分区,如:D:、E:等,也要用上面的方法打开磁盘分区,并删除这些分区根目录下的“autorun.inf”、“rose.exe”以及“systemfile.com”文件。
5、进入Windows目录下的system32目录(默认为C:\windows\system32),删除掉下面的“run.reg”和“systemdate.ini”文件。
三、修复注册表
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run一项,在右边的窗格中找到“dll”一项,将其删除。
四、删除优盘、移动硬盘上的病毒文件
这个病毒通过优盘等进行传播,因此在计算机杀毒后也要对这些移动存储设备进行彻查,防止重复感染。
按住键盘上的“Shift”键,插入优盘。然后用和清除硬盘上病毒同样的操作,清除掉移动存储设备上的病毒。
五、后期检查
重新启动计算机,然后打开任务管理器,查看是否有“rose.exe”进程存在,如果没有,则说明病毒已经清除干净。
瑞星提示:
该病毒手工清除有一定难度和风险,建议用户使用杀毒软件进行清除。针对此病毒,瑞星已经升级。瑞星杀毒软件2006版18.23.11及其更高版本可以彻底查杀此病毒。用户还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。
木马病毒是什么病毒
马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
如何用木马病毒盗取他人信息???
它是样盗取的!你中了木马的服务端后,木马服务端就会在你的电脑上开端口(也就是所说的后门),等待远程的客户端的主到连接(这是主到连接式木马,但这种木马不好,如果你开防火墙了,他可以就连接不到你,因为它在连接你的时候,防火墙会向你寻问是否允许连接),还有一种是反弹式木马,服务端运行后会主动去连接客户端,一但连接上了客户端(也就是制作这个木马的人的电脑),那他就能通过一些“益出”漏洞什么的,拿到你电脑的一定权限,然后再通过一些提权的方法,最终在你的电脑上建个管理账号,就能远程控制你的电脑,通过一些命令,如xcopy等或架设个小型ftp服务器把你的文件烤到自己的电脑上,或在你的电脑上看!
也有一些木马能记录你键盘输入的口令,并自动发送到指定邮箱或空间!这样你的信息就被盗走了!
说的点乱,但就是这样的!你将就看看吧!希望你能看懂!
需要一些常见的病毒(按传播途径分类)
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒Dropper
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
从第一个病毒出世以来,究竟世界上有多少种病毒,说法不一。无论多少种,病毒的数量仍在不断增加。据国外统计,计算机病毒以10种/周的速度递增,另据我国公安部统计,国内以4至6种/月的速度递增。不过,孙悟空再厉害,也逃不了如来佛的手掌心,病毒再多,也逃不出下列种类。病毒分类是为了更好地了解它们。
按照计算机病毒的特点及特性,计算机病毒的分类方法有许多种。因此,同一种病毒可能有多种不同的分法。
1.按照计算机病毒攻击的系统分类
(1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎,Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。
(3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
(4)攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。
2.按照病毒的攻击机型分类
(1)攻击微型计算机的病毒。这是世界上传染是最为广泛的一种病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机,也可以作为小的计算机网络的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
(3)攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展,所以我们不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。
3.按照计算机病毒的链结方式分类
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,计算机病毒所攻击的对象是计算机系统可执行的部分。
(1)源码型病毒
该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自已的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等,对操作系统进行破坏。
4.按照计算机病毒的破坏情况分类
按照计算机病毒的破坏情况可分两类:
(1)良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
(2)恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗基罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。
5.按照计算机病毒的寄生部位或传染对象分类
传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒传染方式进行分类,有以下几种:
(1)磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多,例如,“大麻”和“小球”病毒就是这类病毒。
(2)操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境,它包括.com、.exe等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在,“黑色星期五”即为此类病毒。
(3)可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
对于以上三种病毒的分类,实际上可以归纳为两大类:一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
6.按照计算机病毒激活的时间分类
按照计算机病毒激活时间可分为定时的和随机的。
定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
7.按照传播媒介分类
按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘,常见的是病毒从软盘传入硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
(2)网络病毒
网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
8.按照寄生方式和传染途径分类
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容,软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中伺机传染、发作。
有的病毒会潜伏一段时间,等到它所设置的日期时才发作。有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件,不然就是显示特定拒绝芫雁图形,再不然就是放一段音乐给您听。病毒发作后,不是摧毁分区表,导致无法启动,就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠,不会破坏硬盘数据,只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中,差别只在于内存中的位置。(所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻,以提高效率)。
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主%
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的 CIH 。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 振荡波B变种或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强 ,可以采用数字与字母混合表示变种标识。
木马病毒----谁知道?
所谓的木马程式 先从名字来看 木马 取自希腊神话 特洛伊木马屠城纪 是说敌人留一只木马 而你又傻傻的把他弄进城里 杀你全家
木马程式跟木马屠城很像 都是你自己把木马(病毒)迎进家门口的 但是木马程式的种类很多 最常用的就是一些腥煽色的东西 所以来路不明的东西不要下载 在来是 木马有分很多种 最基本的是测录你的纪录 最强的是远端遥控 木马应该不算病毒 他不太会造成你系统毁损 但是你的资料会不保 资源会被占用 等等后果 而且木马程式用一般的扫毒软体无法扫掉( 诺顿 趋势)而是要另外去查询方法 用手动的方法去扫掉 大概就是这样吧
PWSteal.Lemir.Gen 是对一类游戏盗密木马的统称,与一般的木马病毒不同的是这个名称并不代表著一个固定的木马,而是一类木马,并且这类木马的数目极其繁多,清除方法也各不相同。 以前我们曾经撰写过一篇《手工彻底清除 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马的方法》 的文章,用来介绍清除一个档案是 SysModule32.DLL、SysModule64.DLL 的 PWSteal.Lemir.Gen 木马,但由於许多朋友没有留意到文章前面的提示,以为 PWSteal.Lemir.Gen 指的都是同一个木马,使用这个方法应该是可以的,结果按照指示反覆操作也无法成功,非常失望。
一般的,当您遇到这种木马时可以先尝试用自己的防毒软体来清除它,但如果防毒软体在发现这种木马后却无法成功清除掉它,总是报告清除失败或隔离失败,那该怎麼办呢?
费尔托斯特安全是一款可以清除木马和病毒的软体,它可以清除大量的 PWSteal.Lemir.Gen 木马,如果您有它的正式版可以在升级到最新病毒码后尝试用它扫瞄清除,但这里需要特别提醒一下:由於这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那麼除此之外难道就没有其他办法了吗?有的,下方就介绍一个借助免费工具「费尔木马强力清除助手」来清除这种顽固性 PWSteal.Lemir.Gen 木马的方法:
使用这个方法前必须要先知道这个木马的档案名是什麼。防毒软体在发现木马后一般都会报告它的完整档案名,您需要先准确的记录下这个档案名。比如:如果防毒软体提示 C:\Windows\hello.dll 是 PWSteal.Lemir.Gen 木马,则记下 C:\Windows\hello.dll 这个名子。这里需要注意档案名一定要记准确,因为有许多木马会把自己的档案名故意伪装成和正常的档案名很接近,比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数位0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的档案清除掉,那就麻烦了;
暂停防毒软体的即时监控,防止在清除时被它阻止造成失败。比如如果当初是你的诺顿发现了这个木马,那麼请先暂停诺顿的即时监控或即时扫瞄;
下载费尔木马强力清除助手 ;
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动「费尔木马强力清除助手」。在「档案名」中输入要清除的 PWSteal.Lemir.Gen 木马档案名。比如如果您在第1步中记下的档案名是 C:\Windows\hello.dll,那麼这时就输入它;
按「清除」。这时程式会询问你是否要举报此病毒到费尔安全实验室,建议点「是」表示同意。接著程式会继续提示是否确定要清除它,仍然选「是」;
之后,如果此木马被成功清除程式会提示成功;或者也可能提示此木马无法被立即删除需要重新启动电脑。无论是哪种情况请点选「确定」,这时如果您在前面同意了举报此木马那麼程式会自动创建并开启一个「病毒举报」的电子邮件,其中会包含这个木马的样本档案,如果您看到了这个邮件请把它直接传送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。
最后,如果程式前面提示了重新启动电脑后才能清除那麼请一定重新启动您的电脑,在电脑重新启动后这个木马应该就被清除掉了。
重要提示: 如果您按上面的方法操作之后,发现不久这个木马又出现了,并且还是同样的档案名,那麼您可以用上面的方法再重复执行一次,不过这次操作时请选择程式中的「抑制档案再次生成」选项, 这样清除后一般木马就很难再复活了。这个功能是最新版「费尔木马强力清除助手」中提供的,如果您的没有这个选项,请从上面的位址中重新下载一次。
注意:
「费尔木马强力清除助手」有很强的档案删除能力,清除后的档案将无法再还原,所以在清除前一定要确定档案名没有输入错误。
如果您按上面的方法操作后仍然不能成功清除掉木马,则可能是电脑中还存在著另外一个更主要的木马程式或备份,在它被清除后会自动从另外一处还原。这时您需要用防毒软体扫瞄出所有的这些木马,然后逐一或同时清除才行。
三、rootkit 的类型:
我们可将 rootkit 分为两大类
1.Application rootkit - 建立於应用层级
Application rootkit 是最常被拿来使用的 rootkit。攻击者以 rootkit 中的木马程式来替
换系统中正常的应用程式与系统档案。木马程式会提供后门给攻击者并隐藏其踪迹,攻击者做的
任何活动都不会储存在纪录档中。下面列举了一些攻击者可能取代的档案:
‧隐藏攻击者踪迹的程式 -
(1).ls, find, du - 木马程式可以隐藏攻击者档案、欺骗系统,让系统的档案及目录泄露讯息。
(2).ps, top, pidof - 这些程式都是程序监看程式,它们可以让攻击者在进行攻击的过程中,
隐藏攻击者本身的程序。
(3).netstat - netstat 是用来检查网路活动的连结与监听,如开放的通讯埠等等。木马程式
netstat 可以隐藏攻击者的网路活动,例如 ssh daemon 或其他服务。
(4).killall - 木马程式 killall 让管理者无法停止程序。
(5).ifconfig - 当监听软体正在执行时,木马程式 ifconfig 不会显示 PROMISC flag,这样
可以隐藏攻击者,不被监听软体察觉。
(6).crontab - 木马程式 crontab 可以隐藏攻击者的 crontab 进入情况。
(7).tcpd, syslogd - 木马程式 tcpd 与 "syslog" 不会纪录攻击者的行为。
‧后门程式 -
(1).chfn - 提升使用者的权限。执行 chfn,在输入新使用者名称时,只要输入 rootkit 密码
,就可以取得 root 的权限。
(2).chsh - 提升使用者的权限。执行 chsh,在输入新 shell 时,只要输入 rootkit 密码,
就可以取得 root 的权限。
(3).passwd - 提升使用者的权限。执行 passwd,在输入新密码时,只要输入 rootkit 密码,
就可以取得 root 的权限。
(4).login - 能够纪录任何使用者名称,包含 root 登入的密码。
(5).bd2 - 木马程式 rpcbind 允许攻击者在受害主机上执行任意程式码。
‧木马程式程式 -
(1).inetd - 木马程式 inetd 可以替攻击者打开远端登入的通讯埠,只要输入密码就可以取得
root 的权限。
(2).rshd - 替攻击者提供远端的 shell。(范例:rsh [hostname] - l [rootkit password])
(3).rsh - 透过 rsh 可以取得 root 的密码。(范例:rsh [hostname] - l [rootkit password])
(4).sshd -攻击者以特定帐号密码登入就能拥有 root shell 的权限。
‧监听程式 -
(1).linsniffer - linux 小型的监听程式。
(2).sniffchk - 这个程式可以检验与确认网路监听程式是否正在执行。
(3).le - Solaris Ethernet 封包的监听程式。
(4).snif - linux 其他封包的监听程式。
(5).sniff-10mb - 这是一个设计来监听 10mbps Ethernet 的监听程式。
(6).sniff-100mb - 这是一个设计来监听 100mbps Ethernet 的监听程式。
‧其他种类 -
(1).fix - 安装木马程式时 (例如:ls) 更改的时间戳记与检验封包值的讯息。
(2).wted - wtmp 的编辑程式。可让攻击者修改 wtmp。
(3).z2 - 移除 wtmp/utmp/lastlog。
(4).bindshell - 把 rootshell 与某个通讯埠结合在一起。(预设埠号为 31337)
(5).zap3 - 攻击者会从 wtmp, utmp, lastlog, wtmpx 和 utmpx 移除他们的踪迹。zap3 通常
根据下列目录来找寻纪录档的位置,例如 /var/log, /var/adm, /usr/adm, 与 /var/run。