前天我電腦的c:\windows\system32\bcup.exe這個文件中被諾頓查出有特洛伊木馬,但是沒法隔離或清除,該文件也沒法刪除。昨天再打開電腦,諾頓就沒有有特洛伊木馬的警告了,我用3721的木馬殺毒軟件進行查殺,也沒有查到,現(xiàn)在也不知道我電腦里還有沒有特洛伊木馬,請問有無辦法知道及如何解決?
熱心網(wǎng)友
特洛伊木馬大揭密 特洛伊木馬(以下簡稱木馬),英文叫做“Trojan house”,其名稱取自希臘神話的特洛伊木馬記,它是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點:所謂隱蔽性是指木馬的設計者為了防止木馬被發(fā)現(xiàn),會采用多種手段隱藏木馬,這樣服務端即使發(fā)現(xiàn)感染了木馬,由于不能確定其具體位置,往往只能望“馬”興嘆;所謂非授權性是指一旦控制端與服務端連接后,控制端將享有服務端的大部分操作權限,包括修改文件,修改注冊表,控制鼠標,鍵盤等等,而這些權力并不是服務端賦予的,而是通過木馬程序竊取的。從木馬的發(fā)展來看,基本上可以分為兩個階段,最初網(wǎng)絡還處于以UNIX平臺為主的時期,木馬就產(chǎn)生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統(tǒng)文件中,用跳轉指令來執(zhí)行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當?shù)木W(wǎng)絡和編程知識。而后隨著WINDOWS平臺的日益普及,一些基于圖形操作的木馬程序出現(xiàn)了,用戶界面的改善,使使用者不用懂太多的專業(yè)知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現(xiàn),而且由于這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了,一旦被木馬控制,你的電腦將毫無秘密可言。基礎知識 在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內(nèi)容。一個完整的木馬系統(tǒng)由硬件部分,軟件部分和具體連接部分組成。(1)硬件部分:建立木馬連接所必須的硬件實體。控制端:對服務端進行遠程控制的一方。服務端:被控制端遠程控制的一方。INTERNET:控制端對服務端進行遠程控制,數(shù)據(jù)傳輸?shù)木W(wǎng)絡載體。 (2)軟件部分:實現(xiàn)遠程控制所必須的軟件程序。控制端程序:控制端用以遠程控制服務端的程序。木馬程序:潛入服務端內(nèi)部,獲取其操作權限的程序。木馬配置程序:設置木馬程序的端口號,觸發(fā)條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。 (3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。控制端IP,服務端IP:即控制端,服務端的網(wǎng)絡地址,也是木馬進行數(shù)據(jù)傳輸?shù)哪康牡亍?刂贫硕丝冢抉R端口:即控制端,服務端的數(shù)據(jù)入口,通過這個入口,數(shù)據(jù)可直達控制端程序或木馬程序。 木馬原理 用木馬這種黑客工具進行網(wǎng)絡入侵,從過程上看大致可分為六步,下面我們就按這六步來詳細闡述木馬的攻擊原理。一、配置木馬 一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內(nèi)容看,主要是為了實現(xiàn)以下兩方面功能: (1)木馬偽裝:木馬配置程序為了在服務端盡可能的隱藏木馬,會采用多種偽裝手段,如修改圖標,捆綁文件,定制端口,自我銷毀等。(2)信息反饋:木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M行設置,如設置信息反饋的郵件地址,IRC號,ICO號等等。 二、傳播木馬(1)傳播方式 木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開附件系統(tǒng)就會感染木馬;另一種是軟件下載,一些非正規(guī)的網(wǎng)站以提供軟件下載為名義,將木馬捆綁在軟件安裝程序上,下載后,只要一運行這些程序,木馬就會自動安裝。(2)偽裝方式 鑒于木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這是木馬設計者所不愿見到的,因此他們開發(fā)了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。(一)修改圖標 當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告訴你,這也有可能是個木馬程序,現(xiàn)在已經(jīng)有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷惑性,但是目前提供這種功能的木馬還不多見,并且這種偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。 (二)捆綁文件 這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。 (三)出錯顯示 有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者也意識到了這個缺陷,所以已經(jīng)有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內(nèi)容可自由定義,大多會定制成一些諸如“文件已破壞,無法打開!”之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵入了系統(tǒng)。(四)定制端口 很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的端口就知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024---65535之間任選一個端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷所感染木馬類型帶來了麻煩。(五)自我銷毀 這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件后,木馬會將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),一般來說原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬的朋友只要在近來收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后,原木馬文件將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。 (六)木馬更名 安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的,那么只要根據(jù)一些查殺木馬的文章,在系統(tǒng)文件夾查找特定的文件。就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名,這樣很難判斷所感染的木馬類型了。 三、運行木馬 服務端用戶運行木馬或捆綁木馬的程序后,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然后在注冊表,啟動組,非啟動組中設置好木馬的觸發(fā)條件,這樣木馬的安裝就完成了。安裝后就可以啟動木馬了。(1)由觸發(fā)條件激活木馬 觸發(fā)條件是指啟動木馬的條件,大致出現(xiàn)在下面八個地方: 1。注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。 2。WIN。INI:C:\WINDOWS目錄下有一個配置文件 i,用文本方式打開,在[windows]字段中有啟動命令load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。3。SYSTEM。INI:C:\WINDOWS目錄下有個配置文件 i,用文本方式打開,在[386Enh],[mic],[drivers32]中有命令行,在其中尋找木馬的啟動命令。 t和 s:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后,將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行。5。*。INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。 6。注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產(chǎn)木馬“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C :\WINDOWS \NOTEPAD。EXE %1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR。EXE %1”,這時你雙擊一個TXT文件后,原本應用NOTEPAD打開文件的,現(xiàn)在卻變成啟動木馬程序了。還要說明的是不光是TXT文件,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬,不同之處只在于“文件類型”這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以試著去找一下。 7。捆綁文件:實現(xiàn)這種觸發(fā)條件首先要控制端和服務端已通過木馬建立連接,然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起,然后上傳到服務端覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。 8。啟動菜單:在“開始---程序---啟動”選項下也可能有木馬的觸發(fā)條件。 (2)木馬運行過程 木馬被激活后,進入內(nèi)存,并開啟事先定義的木馬端口,準備與控制端建立連接。這時服務端用戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看端口狀態(tài),一般個人電腦在脫機狀態(tài)下是不會有端口開放的,如果有端口開放,你就要注意是否感染木馬了。 在上網(wǎng)過程中要下載軟件,發(fā)送信件,網(wǎng)上聊天等必然打開一些端口,下面是一些常用的端口: (1)1---1024之間的端口:這些端口叫保留端口,是專給一些對外通訊的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木馬會用保留端口作為木馬端口的。 (2)1025以上的連續(xù)端口:在上網(wǎng)瀏覽網(wǎng)站時,瀏覽器會打開多個連續(xù)的端口下載文字,圖片到本地硬盤上,這些端口都是1025以上的連續(xù)端口。(3)4000端口:這是OICQ的通訊端口。 (4)6667端口:這是IRC的通訊端口。 除上述的端口基本可以排除在外,如發(fā)現(xiàn)還有其它端口打開,尤其是數(shù)值比較大的端口,那就要懷疑是否感染了木馬,當然如果木馬有定制端口的功能,那任何端口都有可能是木馬端口。四、信息泄露 一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝后會收集一些服務端的軟硬件信息,并通過E-MAIL,IRC或ICO的方式告知控制端用戶。五、建立連接 一個木馬連接的建立首先必須滿足兩個條件:一是服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬端口與服務端建立連接。 假設A機為控制端,B機為服務端,對于A機來說要與B機建立連接必須知道B機的木馬端口和IP地址,由于木馬端口是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。我們重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬端口7626是處于開放狀態(tài)的,所以現(xiàn)在A機只要掃描IP地址段中7626端口開放的主機就行了,假設B機的IP地址是 ,當A機掃描到這個IP時發(fā)現(xiàn)它的7626端口是開放的,那么這個IP就會被添加到列表中,這時A機就可以通過木馬的控制端程序向B機發(fā)出連接信號,B機中的木馬程序收到信號后立即作出響應,當A機收到響應的信號后,開啟一個隨即端口1031與B機的木馬端口7626建立連接,到這時一個木馬連接才算真正建立。值得一提的要掃描整個IP地址段顯然費時費力,一般來說控制端都是先通過信息反饋獲得服務端的IP地址,由于撥號上網(wǎng)的IP是動態(tài)的,即用戶每次上網(wǎng)的IP都是不同的,但是這個IP是在一定范圍內(nèi)變動的,B機的IP是 ,那么B機上網(wǎng)IP的變動范圍是在202。102。000。000--- ,所以每次控制端只要搜索這個IP地址段就可以找到B機了。六、遠程控制 木馬連接建立后,控制端端口和木馬端口之間將會出現(xiàn)一條通道。 控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ斩诉M行遠程控制。下面我們就介紹一下控制端具體能享有哪些控制權限,這遠比你想象的要大。 (1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。 (2)文件操作:控制端可藉由遠程控制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬性等一系列操作,基本涵蓋了WINDOWS平臺上所有的文件操作功能。 (3)修改注冊表:控制端可任意修改服務端注冊表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這項功能控制端就可以禁止服務端軟驅(qū),光驅(qū)的使用,鎖住服務端的注冊表,將服務端上木馬的觸發(fā)條件設置得更隱蔽一系列高級操作。 (4)系統(tǒng)操作:這項內(nèi)容包括重啟或關閉服務端操作系統(tǒng),斷開服務端網(wǎng)絡連接,控制服務端的鼠標,鍵盤,監(jiān)視服務端桌面操作,查看服務端進程等,控制端甚至可以隨時給服務端發(fā)送信息,想象一下,當服務端的桌面上突然跳出一段話,不嚇人一跳才怪。。
熱心網(wǎng)友
木馬病毒。建議下載安裝木馬專殺工具:1。 木馬克星iparmor 5。47 build 0714 簡體版 木馬克星乃本站原創(chuàng)反黑客-殺木馬工具,可以查殺8122種國際木馬,1053種密碼偷竊木馬 2。 木馬克星(iparmor) V5。47 Build 0714 木馬克星是專門針對國產(chǎn)木馬的軟件,本軟件是動態(tài)監(jiān)視 3。 木馬克星 5。47 build 0710 通過對179種黑客程序的跟蹤觀察,經(jīng)過對6種經(jīng)典木馬源代碼的詳細分析,終于找到了黑客 4。 iparmor 木馬克星 簡體中文 5。47 Build 0714 采用純動態(tài)監(jiān)視網(wǎng)絡連接技術,可以有效查殺目前絕大多數(shù)黑客程序 5。 木馬清除大師BeatTrojan V2。35 Build 0531 BeatTrojan是Lofocus安全實驗室為網(wǎng)絡游戲愛好者,聊天 。
熱心網(wǎng)友
強烈推薦"Icesword"很不錯的一款進程查看工具!!可以到我的"共享資料"里下載!!!
熱心網(wǎng)友
你最好下一個" Icesword " ,它可以查看正在運行的進程.IceSword內(nèi)部功能是十分強大的。可能您也用過很多類似功能的軟件,比如一些進程工具、端口工具,但是現(xiàn)在的系統(tǒng)級后門功能越來越強,一般都可輕而易舉地隱藏進程、端口、注冊表、文件信息,一般的工具根本無法發(fā)現(xiàn)這些“幕后黑手”。IceSword使用大量新穎的內(nèi)核技術,使得這些后門躲無所躲。
熱心網(wǎng)友
有的病毒 包括內(nèi)存中毒 有些是需要從起電腦后自動刪除的 諾頓可能是沒有提示 但已經(jīng)刪除了該文件 卡巴斯基和kv2005都有該提示的功能 查不到就不用擔心了
熱心網(wǎng)友
木馬克星