木马病毒有哪几类?
你好,从大体上可以分为盗号木马。和其他类型的木马病毒。这类威胁占整个病毒家族而言仅仅是一小部分。现在更多的还是勒索病毒。
木马病毒有哪几个种类?
不同种类的特洛伊木马
远程访问型特洛伊木马:
这是现在最广泛的特洛伊木马。谁都想要这样一个木马,因为他们/她们想要访问受害人的硬盘。RAT'S(一种远程访问木马)用起来是非常简单的。只需一些人运行服务端并且你得到了受害人的IP,你就会访问到他/她的电脑。他们能几乎可以在你的机器上干任何事。而且RAT'S具有远程访问型木马的普遍特征:键盘记录,上传和下载功能,发射一个“屏幕射击”等等……这是不完全的。但有一个是用特洛伊木马的最好的向导。你应该读一读。
有不少的流行的特洛聊韭砻刻毂环⑾郑��碌奶芈逡聊韭砻刻於蓟岢鱿植⑶艺庑┏绦蚨际谴笸�∫臁L芈逡聊韭碜苁亲鐾��氖隆H绻�芈逡聊韭碓诿看蔚腤indows重新启动时都会跟着启动,这意味着它修改了注册表或者Win.ini或其他的系统文件以便使木马可以启动。
当然特洛伊木马也会创建一些文件到Windows\System目录下。那些文件总是被受害者看起来像一些Windows的正常可执行文件。大多数的特洛伊木马会在Alt Ctrl Del对话框中隐藏。这对一些人是不好的,因为他们只会从Alt Ctrl Del对话框中察看运行过程。有的软件会正确的告诉你文件运行的过程。但正如我告诉你的那样,有些特洛伊木马使用了有欺骗性的名字,这就对一些知道终止运行过程的办法的人有一点难。远程访问型特洛伊木马会在你的电脑上打开一个端口时每一个人可以连接。一些特洛伊木马有可以改变端口的选项并且设置密码为的是只能让感染你机器的人来控制特洛伊木马。改变端口的选项是非常好的,因为我肯定你不想要你的受害者看见31337端口在你的电脑上是打开的。远程访问型特洛伊木马每天都在出现,而且会继续出现。 用这种特洛伊木马:小心!你自己会感染,而且会被其他人控制电脑,你会很糟糕的!如果你对它们一无所知,那就不要用它们!
密码发送型特洛伊木马
这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的特洛伊木马不会在每次的Windows重启时重启,而且它们大多数使用25号端口发送E-mail。有这样的发送E-mail、其他信息像ICQ号码、电脑信息的特洛伊木马。如果你有隐藏密码,这些特洛伊木马是危险的。
键盘记录型
这种特洛伊木马是非常简单的。它们只作一种事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有像在线和离线记录这样的选项。在在线选项中,它们知道受害者在线并且记录每一件事。但在离线记录时每一件事在Windows启动被记录后才被记录并且保存在受害者的磁盘上等待被移动。
毁坏型
这种特洛伊木马的唯一功能是毁坏并且删除文件。这是它们非常简单,并且很容易被使用。它们可以自动的删除你电脑上的所有的.Dll或.ini或.exe文件。这是非常危险的特洛伊木马并且一旦你被感染确信你没有杀除,则你的电脑信息会不在存在。
FTP型特洛伊木马
这类的特洛伊木马打开你电脑的21号端口,是每一个人都可以有一个FTP客户端来不用密码连接到你的电脑并且会有完全的上传下载选项。
这些是最普遍的特洛伊木马。它们全都是危险的东西并且你应该谨慎的使用。
什么是木马病毒
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
病毒的种类,以及怎样区分他们,木马病毒怎样识别!!!
你好:
一.病毒的分类
二.木马的识别
一.病毒的分类
E-mail 蠕虫:E-mail 蠕虫通过E-mail来进行传播。大部分情况下,该类蠕虫通过将其自身的副本作为邮件的附件或正文中的链接发送,再诱骗接收者运行附件或点击链接下载文件的方式来进行传播。
IM 蠕虫:该类蠕虫通过IM(即时通讯工具)客户端进行传播,这一类的客户端包括:ICQ,MSN,AOL Instant Messenger,雅虎通,QQ 或 Skype。
通常,这一类蠕虫都会使用联系人列表来发送包含一个链接的信息,这个链接可能会引导用去到其网站上下载一个包含该蠕虫副本的文件,当用户下载并运行该类文件后,蠕虫将激活。
IRC 蠕虫:这一类的蠕虫通过互联网多线聊天系统(IRC,一种用于多人在互联网上实时聊天的服务系统)来进入用户的计算机。
该类蠕虫将会在互联网聊天室中发布包含其副本的文件或是到此类文件的链接。当用户下载并打开此类文件时,病毒将被激活。
Net-蠕虫:该类蠕虫通过网络进行传播。
与其它种类的蠕虫不同,网络蠕虫实在没有用户的参与下进行传播的。它们会搜索本地网络中使用了包含漏洞程序的计算机。为了实现搜索,它们会发送特殊的包含其自身代码或部分此类代码的网络数据包。如果网络中存在一个具有漏洞的计算机,这类计算机就将收到此类数据包。一旦蠕虫成功地完全感染该计算机,它就将激活。
P2P-蠕虫:文件交换蠕虫将通过点到点的文件交换网络进行传播,如:Kazaa,Grokster,EDonkey,FastTrack,BT或 Gnutella。
其它蠕虫:其它的网络蠕虫还包括:
通过网络资源传播其副本的蠕虫。如通过可用的网络文件夹等进行传播。
使用不包含在以上表格中所列方式进行传播的蠕虫。
压缩包炸弹型木马程序:一类压缩包,当对它们进行解压缩时,它们的大小将会增大到足以让计算机工作中断的地步。当您尝试解开这一类压缩包时,计算机将会开始工作缓慢或是停滞,硬盘中将会被空的数据文件填满。压缩包炸弹对于文件和邮件服务器是最为危险的。
远程管理型木马程序:这一类的程序是木马程序中最为危险的,黑客可以通过它们随时对计算机进行远程管理。这些程序是在用户毫不知晓的情况下进行安装的, 然后其会将计算机的远程管理权限提供给入侵者。
木马:木马包含以下的恶意程序:
经典的木马程序: 该类木马只会执行木马程序的主要功能,如阻止、修改或清除数据,中断计算机或计算机网络的运行。它们不会具备该表格中描述的其它种类木马程序的特征。
多目的的木马程序:该类的木马具有其它木马程序的附加功能。
勒索敲诈型木马程序:该类木马程序会劫持用户计算机上的“人质”信息,修改或是隐藏这些信息,或是中断计算机的工作使用户无法使用这些数据。然后,入侵者会向用户要求赎金,以交换用户恢复数据的程序。
点击型木马:该类程序会从用户计算机来访问网页 - 它们会通过向网页浏览器发送命令或是替换存储在系统文件中的网页地址来实现这一操作。
入侵者通过使用这样的程序,就能够阻止针对某个网站的网络攻击,或是帮助某些网站增加访问量,提高广告条的播出率。
下载型木马:该类木马程序将会访问入侵者的网页,从其上下载其它的恶意程序,并将其安装在用户计算机上。它们会将可下载的恶意程序文件名存储在自身中或是在登录网站时从网站获取。
释放型木马:该类程序自身会包含其它的木马程序,能够将它们释放至计算机磁盘上并且安装。
入侵者可以使用释放型木马:
在用户不知情的情况下安装恶意程序:释放型木马在安全恶意程序时不会显示任何信息或是显示假冒的报错信息。如,提示压缩包有错误,或是与操作系统版本不兼容等;
保护其它的已知恶意程序不被发现:并不是所有的反病毒程序都能够检测出包含在释放型木马中的恶意程序。
通知型木马:这类木马程序会通知入侵者受感染的计算机已联网,并且把该计算机的相关信息发送给入侵者,包括:IP地址、开放端口号或邮件地址等。它们会通过邮件、FTP、访问入侵者网页或其它的方式与入侵者联系。
代理型木马:这类木马将会帮助入侵者匿名使用用户的计算机作为访问网页的代理,也会使用户计算机发送垃圾邮件。
盗取密码型木马:会盗取密码的木马程序。它们会盗取用户的账户信息,如软件的注册信息等。它们会在注册表和文件系统中搜寻用户的私密信息,然后通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。
间谍程序型木马:该类程序用于对用户的行为进行刺探,它们会收集用户在计算机上的操作信息。如,它们会截取用户通过键盘输入的数据,对屏幕进行截屏,以及收集活动程序列表等。然后,它们会通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。
网络攻击型木马:该类程序会从用户计算机端向远端的服务器发送大量的数据请求,服务器的资源就会被这样的攻击耗尽,从而停止服务(拒绝服务 (DoS))。该类程序常被用于感染大量的计算机,然后通过它们对服务器发起攻击。
等等,还有很多,以上只是一个简单的分类。要想查看更多相关信息,请访问:http://www.viruslist.com查询,该网站是卡巴斯基的网站。
二.木马的识别
1.简单分析(分析其行为)
2.逆向工程工具分析(IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB)
1.利用工具查看该程序做了哪些操作(需要一定的专业知识)
2.病毒分析人员利用工具分析
1)精通X86,C,C++等
2)系统底层知识
3)熟悉各种常用互联网协议
4)熟练运用IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB等逆向工程工具
5)熟悉Perl, Python等脚本语言
卡巴斯基Eric
木马程序都有哪些种类?
网络游戏木马
随着网络在线游戏的普及和升温,中国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
网银木马
网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。
如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用APIHook等技术干扰网银登录安全控件的运行。
随着中国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
木马程序
计算机后门木马种类包括什么
1、木马病毒。
木马病毒其前缀是:Trojan,其共有特性以盗取用户信息为目的。
2、系统病毒。
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。其主要感染windows系统的可执行文件。3、蠕虫病毒。
蠕虫病毒的前缀是:Worm。其主要是通过网络或者系统漏洞进行传播
4、脚本病毒。
脚本病毒的前缀是:Script。其特点是采用脚本语言编写。
5、后门病毒。
后门病毒的前缀是:Backdoor。其通过网络传播,并在系统中打开后门。
6、宏病毒。
其实宏病毒是也是脚本病毒的一种,其利用ms office文档中的宏进行传播。
7.破坏性程序病毒。
破坏性程序病毒的前缀是:Harm。其一般会对系统造成明显的破坏,如格式化硬盘等。
8.、玩笑病毒。
玩笑病毒的前缀是:Joke。是恶作剧性质的病毒,通常不会造成实质性的破坏。
9.捆绑机病毒
捆绑机病毒的前缀是:Binder。这是一类会和其它特定应用程序捆绑在一起的病毒。
木马病毒有哪几个种类?求答案
不同种类的特洛伊木马
远程访问型特洛伊木马:
这是现在最广泛的特洛伊木马。谁都想要这样一个木马,因为他们/她们想要访问受害人的硬盘。RAT'S(一种远程访问木马)用起来是非常简单的。只需一些人运行服务端并且你得到了受害人的IP,你就会访问到他/她的电脑。他们能几乎可以在你的机器上干任何事。而且RAT'S具有远程访问型木马的普遍特征:键盘记录,上传和下载功能,发射一个“屏幕射击”等等……这是不完全的。但有一个是用特洛伊木马的最好的向导。你应该读一读。
有不少的流行的特洛聊韭砻刻毂环⑾郑 碌奶芈逡聊韭砻刻於蓟岢鱿植⑶艺庑┏绦蚨际谴笸 ∫臁L芈逡聊韭碜苁亲鐾 氖隆H绻 芈逡聊韭碓诿看蔚腤indows重新启动时都会跟着启动,这意味着它修改了注册表或者Win.ini或其他的系统文件以便使木马可以启动。
当然特洛伊木马也会创建一些文件到Windows\System目录下。那些文件总是被受害者看起来像一些Windows的正常可执行文件。大多数的特洛伊木马会在Alt Ctrl Del对话框中隐藏。这对一些人是不好的,因为他们只会从Alt Ctrl Del对话框中察看运行过程。有的软件会正确的告诉你文件运行的过程。但正如我告诉你的那样,有些特洛伊木马使用了有欺骗性的名字,这就对一些知道终止运行过程的办法的人有一点难。远程访问型特洛伊木马会在你的电脑上打开一个端口时每一个人可以连接。一些特洛伊木马有可以改变端口的选项并且设置密码为的是只能让感染你机器的人来控制特洛伊木马。改变端口的选项是非常好的,因为我肯定你不想要你的受害者看见31337端口在你的电脑上是打开的。远程访问型特洛伊木马每天都在出现,而且会继续出现。 用这种特洛伊木马:小心!你自己会感染,而且会被其他人控制电脑,你会很糟糕的!如果你对它们一无所知,那就不要用它们!
密码发送型特洛伊木马
这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的特洛伊木马不会在每次的Windows重启时重启,而且它们大多数使用25号端口发送E-mail。有这样的发送E-mail、其他信息像ICQ号码、电脑信息的特洛伊木马。如果你有隐藏密码,这些特洛伊木马是危险的。
键盘记录型这种特洛伊木马是非常简单的。它们只作一种事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有像在线和离线记录这样的选项。在在线选项中,它们知道受害者在线并且记录每一件事。但在离线记录时每一件事在Windows启动被记录后才被记录并且保存在受害者的磁盘上等待被移动。
毁坏型这种特洛伊木马的唯一功能是毁坏并且删除文件。这是它们非常简单,并且很容易被使用。它们可以自动的删除你电脑上的所有的.Dll或.ini或.exe文件。这是非常危险的特洛伊木马并且一旦你被感染确信你没有杀除,则你的电脑信息会不在存在。
FTP型特洛伊木马
这类的特洛伊木马打开你电脑的21号端口,是每一个人都可以有一个FTP客户端来不用密码连接到你的电脑并且会有完全的上传下载选项。
这些是最普遍的特洛伊木马。它们全都是危险的东西并且你应该谨慎的使用。