***(Trojan),也稱***病毒,是指通過特定的程序(***程序)來控制另一臺計算機。***通常有兩個可執行程序:一個是控制端,另一個是被控制端。***這個名字來源於古希臘傳說(荷馬史詩中***計的故事,Trojan一詞的特洛伊***本意是特洛伊的,即代指特洛伊***,也就是***計的故事)。“***”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也並不“刻意”地去感染其他文件,它通過將自身僞裝吸引用戶下載執行,向施種***者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機。***病毒的產生嚴重危害着現代網絡的安全運行。
一、***的含義
“***”與計算機網絡中常常要用到的遠程控制軟件有些相似,但由於遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;“***”則完全相反,***要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是“毫無價值”的。
它是指通過一段特定的程序(***程序)來控制另一臺計算機。***通常有
兩個可執行程序:一個是客戶端,即控制端;另一個是服務端,即被控制端。植入被種者電腦的是“服務器”部分,而所謂的“***”正是利用“控制器”進入運行了“服務器”的電腦。運行了***程序的“服務器”以後,被種者的電腦就會有一個或幾個端口被打開,使***可以利用這些打開的端口進入電腦系統,安全和個人隱私也就全無保障了! ***的設計者爲了防止***被發現,而採用多種手段隱藏***。***的服務一旦運行並被控制端連接,其控制端將享有服務端的大部分操作權限,例如給計算機增加口令,瀏覽、移動、複製、刪除文件,修改註冊表,更改計算機配置等。
隨着病毒編寫技術的發展,***程序對用戶的威脅越來越大,尤其是一些***程序採用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒後發覺。
二、***的原理
一個完整的特洛伊***套裝程序含了兩部分:服務端(服務器部分)和客戶端(控制器部分)。植入對方電腦的是服務端,而***正是利用客戶端進入運行了服務端的電腦。運行了***程序的服務端以後,會產生一個有着容易迷惑用戶的名稱的進程,暗中打開端口,向指定地點發送數據(如網絡遊戲的密碼,即時通信軟件密碼和用戶上網密碼等),***甚至可以利用這些打開的端口進入電腦系統。
特洛伊***程序不能自動操作, 一個特洛伊***程序是包含或者安裝一個存心不良的程序的, 它可能看起來是有用或者有趣的計劃(或者至少無害)對一不懷疑的用戶來說,但是實際上有害當它被運行。特洛伊***不會自動運行,它是暗含在某些用戶感興趣的文檔中,用戶下載時附帶的。當用戶運行文檔程序時,特洛伊***纔會運行,信息或文檔纔會被破壞和遺失。特洛伊***和後門不一樣,後門指隱藏在程序中的祕密功能,通常是程序設計者爲了能在日後隨意進入系統而設置的。
特洛伊***有兩種,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
三、***的特徵
特洛伊***不經電腦用戶准許就可獲得電腦的使用權。程序容量十分輕小,運行時不會浪費太多資源,因此沒有使用殺毒軟件是難以發覺的,運行時很難阻止它的行動,運行後,立刻自動登錄在系統引導區,之後每次在Windows加載時自動運行,或立刻自動變更文件名,甚至隱形,或馬上自動複製到其他文件夾中,運行連用戶本身都無法運行的動作。
四、***的發展
***程序技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進***程序的編寫。至今***程序已經經歷了六代的改進:
第一代,是最原始的***程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了***最基本的功能。
第二代,在技術上有了很大的進步,冰河是中國***的典型代表之一。
第三代,主要改進在數據傳遞技術方面,出現了ICMP等類型的***,利用畸形報文傳遞數據,增加了殺毒軟件查殺識別的難度。
第四代, 在進程隱藏方面有了很大改動,採用了內核插入式的嵌入方式,利用遠程插入線程技術,嵌入DLL線程。或者掛接PSAPI,實現***程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL***。
第五代,驅動級***。驅動級***多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,並深入到內核空間的,感染後針對殺毒軟件和網絡防火牆進行***,可將系統SSDT初始化,導致殺毒防火牆失去效應。有的驅動級***可駐留BIOS,並且很難查殺。
第六代,隨着身份認證UsbKey和殺毒軟件主動防禦的興起,黏蟲技術類型和特殊反顯技術類型***逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息爲主,後者以動態口令和硬證書***爲主。PassCopy和暗黑蜘蛛俠是這類***的代表。
五、***的種類
網遊***
隨着網絡在線遊戲的普及和升溫,中國擁有規模龐大的網遊玩家。網絡遊戲中的金錢、裝備等虛擬財富與現實財富之間的界限越來越模糊。與此同時,以盜取網遊帳號密碼爲目的的***病毒也隨之發展氾濫起來。
網絡遊戲***通常採用記錄用戶鍵盤輸入、Hook遊戲進程API函數等方法獲取用戶的密碼和帳號。竊取到的信息一般通過發送電子郵件或向遠程腳本程序提交的方式發送給***作者。
網絡遊戲***的種類和數量,在國產***病毒中都首屈一指。流行的網絡遊戲無一不受網遊***的威脅。一款新遊戲正式發佈後,往往在一到兩個星期內,就會有相應的***程序被製作出來。大量的***生成器和***網站的公開銷售也是網遊***氾濫的原因之一。
網銀***
網銀***是針對網上交易系統編寫的***病毒,其目的是盜取用戶的卡號、密碼,甚至安全證書。此類***種類數量雖然比不上網遊***,但它的危害更加直接,受害用戶的損失更加慘重。
網銀***通常針對性較強,***作者可能首先對某銀行的網上交易系統進行仔細分析,然後針對安全薄弱環節編寫病毒程序。2013年,安全軟件電腦管家截獲網銀***最新變種“弼馬溫”,弼馬溫病毒能夠毫無痕跡的修改支付界面,使用戶根本無法察覺。通過不良網站提供假QVOD下載地址進行廣泛傳播,當用戶下載這一掛馬播放器文件安裝後就會中***,該病毒運行後即開始監視用戶網絡交易,屏蔽餘額支付和快捷支付,強制用戶使用網銀,並藉機篡改訂單,盜取財產。
隨着中國網上交易的普及,受到外來網銀***威脅的用戶也在不斷增加。
下載類
這種***程序的體積一般很小,其功能是從網絡上下載其他病毒程序或安裝廣告軟件。由於體積很小,下載類***更容易傳播,傳播速度也更快。通常功能強大、體積也很大的後門類病毒,如“灰鴿子”、“黑洞”等,傳播時都單獨編寫一個小巧的下載型***,用戶中毒後會把後門主程序下載到本機運行。
代理類
用戶感染代理類***後,會在本機開啓HTTP、SOCKS等代理服務功能。***把受感染計算機作爲跳板,以被感染用戶的身份進行***活動,達到隱藏自己的目的。
FTP***
FTP型***打開被控制計算機的21號端口(FTP所使用的默認端口),使每一個人都可以用一個FTP客戶端程序來不用密碼連接到受控制端計算機,並且可以進行最高權限的上傳和下載,竊取受害者的機密文件。新FTP***還加上了密碼功能,這樣,只有***者本人才知道正確的密碼,從而進入對方計算機。
通訊軟件類
國內即時通訊軟件百花齊放。QQ、新浪UC、網易泡泡、盛大圈圈……網上聊天的用戶羣十分龐大。常見的即時通訊類***一般有3種:
(1)、發送消息型
通過即時通訊軟件自動發送含有惡意網址的消息,目的在於讓收到消息的用戶點擊網址中毒,用戶中毒後又會向更多好友發送病毒消息。此類病毒常用技術是搜索聊天窗口,進而控制該窗口自動發送文本內容。發送消息型***常常充當網遊***的廣告,如“武漢男生2005”***,可以通過MSN、QQ、UC等多種聊天軟件發送帶毒網址,其主要功能是盜取傳奇遊戲的帳號和密碼。
(2)、盜號型
主要目標在於即時通訊軟件的登錄帳號和密碼。工作原理和網遊***類似。病毒作者盜得他人帳號後,可能偷窺聊天記錄等隱私內容,在各種通訊軟件內向好友發送不良信息、廣告推銷等語句,或將帳號賣掉賺取利潤。
(3)、傳播自身型
2005年初,“MSN性感雞”等通過MSN傳播的蠕蟲氾濫了一陣之後,MSN推出新版本,禁止用戶傳送可執行文件。2005年上半年,“QQ龜”和“QQ愛蟲”這兩個國產病毒通過QQ聊天軟件發送自身進行傳播,感染用戶數量極大,在江民公司統計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術角度分析,發送文件類的QQ蠕蟲是以前發送消息類QQ***的進化,採用的基本技術都是搜尋到聊天窗口後,對聊天窗口進行控制,來達到發送文件或消息的目的。只不過發送文件的操作比發送消息複雜很多。
網頁點擊類
網頁點擊類***會惡意模擬用戶點擊廣告等動作,在短時間內可以產生數以萬計的點擊量。病毒作者的編寫目的一般是爲了賺取高額的廣告推廣費用。此類病毒的技術簡單,一般只是向服務器發送HTTP GET請求。
六、***的查殺
首先找到感染文件,其手動方法是結束相關進程然後刪除文件。但是目前互聯網上出現了各種殺毒軟件及專殺,我們可以藉助這些安全工具進行查殺。
***和病毒都是一種人爲的程序,都屬於電腦病毒,爲什麼***要單獨提出來說呢?大家都知道以前的電腦病毒的作用,其實完全就是爲了搞破壞,破壞電腦裏的資料數據,除了破壞之外其它無非就是有些病毒製造者爲了達到某些目的而進行的威懾和敲詐勒索的作用,或爲了炫耀自己的技術. "***"不一樣,***的作用是赤裸裸的偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於別處,遊戲帳號,股票帳號,甚至網上銀行帳戶等等.達到偷窺別人隱私和得到經濟利益爲目的.所以***的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是網上大量***氾濫成災的原因.鑑於***的這些巨大危害性和它與早期病毒的作用性質不一樣,所以***雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之爲"***"程序。
一般來說一種殺毒軟件程序,它的***專殺程序能夠查殺某某***的話,那麼它自己的普通殺毒程序也當然能夠殺掉這種***,因爲在***氾濫的今天,爲***單獨設計一個專門的***查殺工具,那是能提高該殺毒軟件的產品檔次的,對其聲譽也大大的有益,實際上一般的普通殺毒軟件裏都包含了對***的查殺功能.如果大家說某某殺毒軟件沒有***專殺的程序,那這家殺毒軟件廠商自己也好像有點過意不去,即使它的普通殺毒軟件裏當然的有殺除***的功能。並且,在互聯網上公開的病毒,一般殺毒廠商都會更新病毒庫,便以查殺。
還有一點就是,把查殺***程序單獨剝離出來,可以提高查殺效率,很多殺毒軟件裏的***專殺程序只對***進行查殺,不去檢查普通病毒庫裏的病毒代碼,也就是說當用戶運行***專殺程序的時候,程序只調用***代碼庫裏的數據,而不調用病毒代碼庫裏的數據,大大提高***查殺速度.我們知道查殺普通病毒的速度是比較慢的,因爲有太多太多的病毒.每個文件要經過幾萬條***代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度呢? 也就是說好多殺毒軟件自帶的***專殺程序只查殺***而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺***!
如何查出:
在使用常見的***查殺軟件及殺軟件的同時,系統自帶的一些基本命令也可以發現***病毒:
1、檢測網絡連接
如果你懷疑自己的計算機上被別人安裝了***,或者是中了病毒,但是手裏沒有完善的工具來檢測是不是真有這樣的事情發生,那可以使用Windows自帶的網絡命令來看看誰在連接你的計算機。
具體的命令格式是:netstat -an這個命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到控制計算機的目的。
2、禁用不明服務
很多朋友在某天系統重新啓動後會發現計算機速度變慢了,不管怎麼優化都慢,用殺毒軟件也查不出問題,這個時候很可能是別人通過***你的計算機後給你開放了特別的某種服務,比如IIS信息服務等,這樣你的殺毒軟件是查不出來的。但是別急,可以通過“net start”來查看系統中究竟有什麼服務在開啓,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。
方法就是直接輸入“net start”來查看服務,再用“net stop server”來禁止服務。
3、輕鬆檢查賬戶
很長一段時間,惡意的***者非常喜歡使用克隆賬號的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶,但這個賬戶是不經常用的,然後使用工具把這個賬戶提升到管理員權限,從表面上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是系統中最大的安全隱患。惡意的***者可以通過這個賬戶任意地控制你的計算機。
爲了避免這種情況,可以用很簡單的方法對賬戶進行檢測。
首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用“net user 用戶名”查看這個用戶是屬於什麼權限的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個系統內置的用戶是屬於administrators組的,那幾乎肯定你被***了,而且別人在你的計算機上克隆了賬戶。快使用“net user用戶名/del”來刪掉這個用戶吧!
聯網狀態下的客戶端。對於沒有聯網的客戶端,當其聯網之後也會在第一時間內收到更新信息將病毒特徵庫更新到最新版本。不僅省去了用戶去手動更新的煩瑣過程,也使用戶的計算機時刻處於最佳的保護環境之下。
4、對比系統服務項
(1)、點擊“開始,運行”輸入“msconfig.exe"回車,打開”系統配置實用程序,然後 在“服務”選項卡中勾選“隱藏所有Microsoft服務”,這時列表中顯示的服務項都是非系統程序。
(2)、再點擊“開始,運行”,輸入Services.msc"回車,打開“系統服務管理”,對比兩張表,在該“服務列表”中可以逐一找出剛纔顯示的非系統服務項。
(3)、在“系統服務”管理界面中,找到那些服務後,雙擊打開,在“常規”選項卡中的可執行文件路徑中可以看到服務的可執行文件位置,一般正常安裝的程序,比如殺毒,MSN,防火牆,等,都會建立自己的系統服務,不在系統目錄下,如果有第三方服務指向的路徑是在系統目錄下,那麼他就是“***”。選中它,選擇表中的“禁止”,重新啓動計算機即可。
(4)、要點:有一個表的左側:有被選中的服務程序說明,如果沒用,它就是***。
危害
1、盜取我們的網遊賬號,威脅我們的虛擬財產的安全
***病毒會盜取我們的網遊賬號,它會盜取我們帳號後,並立即將帳號中的遊戲裝備轉移,再由***病毒使用者出售這些盜取的遊戲裝備和遊戲幣而獲利。
2、盜取我們的網銀信息,威脅我們的真實財產的安全
***採用鍵盤記錄等方式盜取我們的網銀帳號和密碼,併發送給***,直接導致我們的經濟損失。
3、利用即時通訊軟件盜取我們的身份,傳播***病毒等不良信息
中了此類***病毒後,可能導致我們的經濟損失。在中了***後電腦會下載病毒作者指定的程序任意程序,具有不確定的危害性。如惡作劇等。
4、給我們的電腦打開後門,使我們的電腦可能被***控制
如灰鴿子***等。當我們中了此類***後,我們的電腦就可能淪爲肉雞,成爲***手中的工具。
防禦
***查殺(查殺軟件很多,有些病毒軟件都能殺***)
防火牆(分硬件和軟件)家裏面的就用軟件好了,如果是公司或其他地方就硬件和軟件一起用。
基本能防禦大部分***,但是的軟件都不是萬能的,還要學點專業知識,有了這些,你的電腦就安全多了。高手也很多,只要你不隨便訪問來歷不明的網站,使用來歷不明的軟件(很多盜版或破解軟件都帶***,這個看你自己經驗去區分),還要及時更新系統漏洞,如果你都做到了,***,病毒。就不容易進入你的電腦了。
七、***的刪除
1、禁用系統還原
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啓用的,一旦計算機中的文件被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊***感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊***。
Windows 禁止包括防病毒程序在內的外部程序修改系統還原。因此,防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣,系統還原就可能將受感染文件還原到計算機上,即使您已經清除了所有其他位置的受感染文件。
此外,病毒掃描可能還會檢測到 System Restore 文件夾中的威脅,即使您已將該威脅刪除。
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設置。
2、安全模式或VGA 模式
關閉計算機,等待至少 30 秒鐘後重新啓動到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用戶:將計算機重啓到安全模式。所有 Windows 32-bit 作系統,除了Windows NT,可以被重啓到安全模式。更多信息請參閱文檔 如何以安全模式啓動計算機。
Windows NT 4 用戶:將計算機重啓到 VGA 模式。
掃描和刪除受感染文件啓動防病毒程序,並確保已將其配置爲掃描所有文件。運行完整的系統掃描。如果檢測到任何文件被 Download.Trojan 感染,請單擊“刪除”。如有必要,清除 Internet Explorer 歷史和文件。如果該程序是在 Temporary Internet Files 文件夾中的壓縮文件內檢測到的,請執行以下步驟:
啓動 Internet Explorer。單擊“工具”>;“Internet 選項”。單擊“常規”選項卡“Internet臨時文件”部分中,單擊“刪除文件”,然後在出現提示後單擊“確定”。在“歷史”部分,單擊“清除歷史”,然後在出現提示後單擊“是”。
八、藏身之地
***是一種基於遠程控制的病毒程序,該程序具有很強的隱蔽性和危害性,它可以在人不知鬼不覺的狀態下控制你或者監視你。下面就是***潛伏的詭招,看了以後不要忘記採取絕招來對付這些損招。
1、集成到程序中
其實***也是一個服務器――客戶端程序,它爲了不讓用戶能輕易地把它刪除,就常常集成到程序裏,一旦用戶激活***程序,那麼***文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使***被刪除了,只要運行捆綁了***的應用程序,***又會被安裝上去了。綁定到某一應用程序中,如綁定到系統文件,那麼每一次Windows啓動均會啓動***。
2、隱藏在配置文件中
***實在是太狡猾,知道菜鳥們平時使用的是圖形化界面的操作系統,對於那些已經不太重要的配置文件大多數是不聞不問了,這正好給***提供了一個藏身之處。而且利用配置文件的特殊作用,***很容易就能在大家的計算機中運行、發作,從而偷窺或者監視大家。不過,這種方式不是很隱蔽,容易被發現,所以在Autoexec.bat和Config.sys中加載***程序的並不多見,但也不能因此而掉以輕心。
3、潛伏在Win.ini中
***要想達到控制或者監視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中運行這個該死的***。當然,***也早有心理準備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統啓動時自動運行的地方,於是潛伏在Win.ini中是***感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]字段中有啓動命令“load=”和“run=”,在一般情況下“=”後面是空白的,如果有後跟程序,比方說是這個樣子:run=c:windowsfile. Exeload=c:windowsfile.exe。這時你就要小心了,這個file.exe很可能是***。
4、僞裝在普通文件中
這個方法出現的比較晚,不過很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件僞裝成圖片或文本——在程序中把圖標改成Windows的默認圖片圖標,再把文件名改爲*.jpg.exe,由於Win98默認設置是“不顯示已知的文件後綴名”,文件將會顯示爲*.jpg,不注意的人一點這個圖標就中***了(如果你在程序中嵌一張圖片就更完美了)。
5、內置到註冊表中
上面的方法讓***着實舒服了一陣,既沒有人能找到它,又能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓後,認爲上面的藏身之處很容易找,註冊表!的確註冊表由於比較複雜,***常常喜歡藏在這裏快活,趕快檢查一下,有什麼程序在其下,睜大眼睛仔細看了,別放過***:
HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”開頭的鍵值;HKEY_CURRENT_USER\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”開頭的鍵值; HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\ 下所有以“run”開頭的鍵值。
6、在驅動程序中藏身
***真是無處不在呀!什麼地方有空子,它就往哪裏鑽!這不,Windows安裝目錄下的System.ini也是***喜歡隱蔽的地方。還是小心點,打開這個文件看看,它與正常文件有什麼不同,在該文件的[boot]字段中,是不是有這樣的內容,那就是shell=Explorer.exe file.exe,如果確實有這樣的內容,那你就不幸了,因爲這裏的file.exe就是***服務端程序!另外,在System.ini中的[386Enh]字段,要注意檢查在此段內的“driver=路徑程序名”,這裏也有可能被***所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個字段,這些段也是起到加載驅動程序的作用,但也是增添***程序的好場所,你該知道也要注意這裏。
7、隱形於啓動組中
有時***並不在乎自己的行蹤,它更注意的是能否自動加載到系統中,因爲一旦***加載到系統中,任你用什麼方法你都無法將它趕跑(哎,這***臉皮也真是太厚),因此按照這個邏輯,啓動組也是***可以藏身的好地方,因爲這裏的確是自動加載運行的好場所。假設啓動組對應的文件夾爲:
C:\windows\startmenu\programs\startup
在註冊表中的位置:
HKEY_CURRENT_USER\Softwar\eMicrosoft\Windows\ CurrentVersio\nExplorer\ShellFolders\Startup= “C:windows\startmenu\programs\startup”
要注意經常檢查啓動組。
8、在Winstart.bat中
按照上面的邏輯理論,凡是利於***能自動加載的地方,***都喜歡待。這不,Winstart.bat也是一個能自動被Windows加載運行的文件,它多數情況下爲應用程序及Windows自動生成,在執行了Win. com並加載了多數驅動程序之後開始執行(這一點可通過啓動時按F8鍵再選擇逐步跟蹤啓動過程的啓動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此***完全可以像在Autoexec.bat中那樣被加載運行,危險由此而來。
9、捆綁在啓動文件中
即應用程序的啓動配置文件,控制端利用這些文件能啓動程序的特點,將製作好的帶有***啓動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啓動***的目的了。
10、設置在超級連接中
***的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜!奉勸不要隨便點擊網頁上的鏈接,除非你瞭解它,信任它。
九、危害網站
惡意程序破壞網站
頁面中的***主要指的就是利用網站建設的安全漏洞來竊取網站機密的工具。其通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程序,JavaScript腳本語言程序,ActiveX軟件部件網絡交互技術支持可自動執行的代碼程序,以強行修改用戶操作系統的註冊表設置及系統實用配置程序,或非法控制系統資源盜取用戶文件,或惡意刪除硬盤文件、格式化硬盤爲行爲目標的非法惡意程序。這種非法惡意程序能夠得以被自動執行,在於它完全不受用戶的控制。一旦瀏覽含有該病毒的網頁,即可以在你不知不覺的情況下馬上中招,給用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞。
下載存在漏洞
網站建設中一旦被發現有***的痕跡,主要原因就是在其它站點下載所致,目前國內的大多數中小網站都是從網絡上下載的免費系統建成的,這些系統在設計的時候存在或多或少的安全漏洞,如動網和動易以前都存在過上傳漏洞,導致駭客可以上傳***至網站,輕易獲得管理權限。同時Win2003本身也存在設計缺陷,如前段時間出現的新漏洞:“IIS6 目錄檢查漏洞”。
十、僞裝方法
鑑於***病毒的危害性,很多人對***知識還是有一定了解的,這對***的傳播起了一定的抑制作用,這 是***設計者所不願見到的,因此他們開發了多種功能來僞裝***,以達到降低用戶警覺,欺騙用戶的目的。
修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認爲這是個文本文件呢?但是我不得不告 訴你,這也有可能是個***程序, 已經有***可以將***服務端程序的圖標改成HTML,TXT,ZIP等各種文件的圖標,這有相當大的迷 惑性,但是提供這種功能的***還不多見,並且這種 僞裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。
捆綁文件
這種僞裝手段是將***捆綁到一個安裝程序上,當安裝程序運行時,***在用戶毫無察覺的情況下,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
出錯顯示
有一定***知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個***程序,***的設計者也意識到了這個缺陷,所以已經有***提供了一個叫做出錯顯示的功能。當服務端用戶打開***程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以 爲真時,***卻悄悄侵入了系統。
定製端口
很多老式的***端口都是固定的,這給判斷是否感染了***帶來了方便,只要查一下特定的 端口就 知道感染了什麼***,所以很多新式的***都加入了定製端口的功能,控制端用戶可 以在1024---65535之間任選一個端口作爲***端口(一般不選1024以下的端口),這樣就給判斷 所感染***類型帶 來了麻煩。
自我銷燬
這項功能是爲了彌補***的一個缺陷。我們知道當服務端用戶打開含有***的文件後,***會將自己拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說 原***文件 和系統文件夾中的***文件的大小是一樣的(捆綁文件的***除外),那麼中了*** 的朋友只要在收到的信件和下載的軟件中找到原***文件,然後根據原***的大小去系統 文件夾找相同大小的文件,判斷一下哪個是***就行了。而***的自我銷燬功能是指安裝完***後,原***文件將自動銷燬,這樣服務端用戶就很難找到***的來源,在沒有查殺***的工 具幫助下,就很難刪除***了。
***更名
安裝到系統文件夾中的***的文件名一般是固定的,那麼只要根據一些查殺***的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼***。所以有很多***都允許控 制端用戶自由定製安裝後的***文件名,這樣很難判斷所感染的***類型了。
十一、******
隨着DOS***越來越廣泛的應用,被用作DOS***的***也越來越流行起來。當你***了一臺機器,給他種上DOS******,那麼日後這臺計算機就成爲你DOS***的最得力助手了。你控制的肉雞數量越多,你發動DOS***取得成功的機率就越大。所以,這種***的危害不是體現在被感染計算機上,而是體現在***者可以利用它來***一臺又一臺計算機,給網絡造成很大的傷害和帶來損失。還有一種類似DOS的***叫做郵件×××***,一旦機器被感染,***就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件爲止。