暗云木马程序变种了吗_暗云木马程序变种

什么是恶意木马程序啊？

这种木马会对受感染操作系统中的动态链接库文件进行针对性劫持,同时变种在操作系统的每个目录下都将会释放一些恶意程序文件,使得计算机用户很难对其进行彻底清除.

第二个问题的答案很多,有些黑客是为了练手,有些黑客是为了宣扬自己,有些黑客是为了报复(这是社会性心理问题),有些黑客则纯属利益驱动.

;第三个问题,利益其实是很多的,最简单的就是盗取你的游戏,网银帐户密码.还有就是手机所有木马客户端(就是中木马的)的资料(比如说上网目的,上网行为等),然后卖给收集这些资料的人(这些人收集这些资料的目的也很多,比如说公司性质的暗中调查社会的上网趋向等)

Win32.Troj.Agent.vb.45056是什么病毒?

病毒名称(中文):隐身虫下载器

病毒类型:木马下载器

病毒长度:81920

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个木马程序变种。病毒运行后复制自身至系统文件夹，并通过修改注册表注册为系统服务，以开机自启动。病毒会加载一个无法通过任务管理器查看的隐藏的进程gdisvc.exe，但可以通过icesword查看，然后在后台尝试连接远程服务器下载大量木马安装至本地计算机，病毒还尝试收集用户网卡信息和中毒者数量。另外，该病毒利用了迅雷看看（ThunderKanKan）漏洞，会被利用来下载病毒，请广大用户小心。

1.复制自身

%commonfiles%\System\gdiserver.exe

%sys32dir%\gdisvc.exe

然后使用批处理删除自身

2.生成注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\gdisvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gdi Server

修改注册表项

HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\InProcServer32 @ "C:\WINNT\System32\wshom.ocx" "C:\WINNT\system32\WSHom.Ocx"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\InProcServer32 @ "C:\WINNT\System32\wshom.ocx" "C:\WINNT\system32\WSHom.Ocx"

3.生成系统服务

服务名："Gdi Server"

服务描述："Provider Support for Windows Graphics Device"

映像路径："%commonfiles%\System\gdiserver.exe"

4.病毒会加载无法通过任务管理器查看的隐藏的进程，但可以通过icesword查看

5.尝试连接远程服务器下载大量木马安装至本地计算机

**y.com/miss/logo.gif

**y.com/miss/logo1.gif

**y.com/miss/logo2.gif

**y.com/miss/logo3.gif

**.com.cn/r**.asp?id=0024000C2921944037

*****1.searchnine.cn/Toolbar/schunin.exe

*****1.searchnine.cn/Toolbar/windates.exe

*****1.searchnine.cn/Toolbar/iexplore.exe

*****1.searchnine.cn/Toolbar/scNine.dll

*****1.searchnine.cn/Toolbar/Boos.dll

*****1.searchnine.cn/Toolbar/version.txt

**n.1024tb.com/do*****d/mu/2.3.0/b6b9fc33630db89f076ce23fb977585...

**y.com/m**s/logo.gif

**y.com/*o/top.exe

**y.com/k*o/xunlei.js......

6.尝试收集用户网卡信息和统计中毒者数量

7.该病毒利用了迅雷看看（Thunder KanKan）上漏洞

pplayer.dll 组件版本号：1.2.3.49，CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F

怎么杀掉远程控制木马变种？

杀毒软件一般都行，而且现在一般对敏感行为有监控，杀毒软件会提醒

杀trojan.generic.heuristic恶意木马

开机-----按F8键------进入“安全模式”下去启动360卫士软件查杀。

打开360卫士----常用----查杀流行木马 和 清理恶评插件----分别 开始扫描.........、

打开360卫士----高级----高级工具集----文件粉碎机----输入 webs的文件名 和 路径..再√上“阻止被粉碎文件再生成”----粉碎--即可、

打开360卫士----高级----修复IE----立即修复......、

或者手动删除webs文件、为预防再生、可以在删除之后原地建立一个名为 webs 的空白文件夹、并改属性为“只读”、这样能抑制它再生成．

木马病毒的相关案例

因好莱坞大片《特洛伊》而一举成名的“木马”（Trojan），在互联网时代让无数网民深受其害。无论是“网购”、“网银”还是“网游”的账户密码，只要与钱有关的网络交易，都是当下木马攻击的重灾区，用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。

No1：“支付大盗”

“支付大盗”花钱上百度首页。

2012年12月6日，一款名为“支付大盗”的新型网购木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”，诱骗网友下载运行木马，再暗中劫持受害者网上支付资金，把付款对象篡改为黑客账户。

No2：“新鬼影”

“新鬼影”借《江南Style》疯传。

火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR（主引导扇区）中，如果用户电脑没有开启安全软件防护，中招后无论重装系统还是格式化硬盘，都无法将其彻底清除干净。

No3：“图片大盗”

“图片大盗”最爱私密照。

绝大多数网民都有一个困惑，为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片，并筛选大小在100KB到2MB之间的文件，暗中将其发送到黑客服务器上，对受害者隐私造成严重危害。

No4：“浮云”

“浮云”木马震惊全国。

　盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单，却在后台执行另外一个高额定单，用户确认后，高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃

No5：“黏虫”

“黏虫”木马专盗QQ。

　“QQ黏虫”在2011年度就被业界评为十大高危木马之一，2012年该木马变种卷土重来，伪装成QQ登录框窃取用户QQ帐号及密码。值得警惕的是不法分子盗窃QQ后，除了窃取帐号关联的虚拟财产外，还有可能假冒身份向被害者的亲友借钱。

No6：“怪鱼”

“怪鱼”木马袭击微博。

2012年十一长假刚刚结束，一种名为“怪鱼”的新型木马开始肆虐网络。该木马充分利用了新兴的社交网络，在中招电脑上自动登录受害者微博帐号，发布虚假中奖等钓鱼网站链接，绝对是2012年最具欺骗性的钓鱼攻击方式之一。

No7：“打印机木马”

“打印机木马”疯狂消耗纸张。

2012年6月，号称史上最不环保的“打印机木马”（Trojan.Milicenso）现身，美国、印度、北欧等地区大批企业电脑中招，导致数千台打印机疯狂打印毫无意义的内容，直到耗完纸张或强行关闭打印机才会停止。

No8：“网银刺客”

“网银刺客”木马暗算多家网银。

2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发，该木马恶意利用某截图软件，把正当合法软件作为自身保护伞，从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金，影响十余家主流网上银行。

No9：“遥控弹窗机”

“遥控弹窗机”木马爱上偷菜。

“遥控弹窗机”是一款伪装成“QQ农牧餐大师”等游戏外挂的恶意木马，运行后会劫持正常的QQ弹窗，不断弹出大量低俗页面及网购钓鱼弹窗，并暗中与黑客服务器连接，随时获取更新指令，使受害者面临网络帐号被盗、个人隐私泄露的危险。

No10：“Q币木马”

“Q币木马”元旦来袭。

新年历来是木马病毒活跃的高峰期，2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假QQ弹窗，诱骗中招用户在Q币充值页面上进行支付，充值对象则被木马篡改为黑客的QQ号码，相当于掏钱替黑客买Q币。

No11: “修改中奖号码”

2009年6月，深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点，深圳市某技术公司软件开发工程师程某，利用在深圳福彩中心实施技术合作项目的机会，通过木马程序，攻击了存储福彩信息的数据库，并进一步进行了篡改彩票中奖数据的恶意行为，以期达到其牟取非法利益的目的。

硬盘中发现木马!-=>Adware.Msearch[变种] #13699

如何识别木马

识别木马有新招，希望这篇文章对你有所帮助。

一、经常看到有玩家说，在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员，还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道，不管是传奇还是任何一款程序。它都是有他所特有的数据的（包括玩家的帐号、密码，等级装备资料等等）。这些数据都是会通过本机与游戏服务器取得了验证以后，玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~，以我自己的计算机知识，这种语句的大概意思应该是：当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说，其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。

下边先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解，

简单防治的方法：

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。

下边介绍一下木马和如何简单的检查一下是否中了木马。

木马程序一般分为服务器端程序和客户端程序两个部分，当服务器端程序安装在某台连接到网络的电脑后，就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是，木马是非法取得对对方电脑的控制权，一旦登陆成功，就可以取得管理员级的权利，对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用，因为一不小心就会引火上身，被对方反查过来就会偷鸡不成蚀把米了，一般他们都会采用只有服务器端的小木马，这类木马通常会把截取的密码发到一个免费邮箱里，不需要人为操作，有空去收趟邮件就可以了，这种木马遍布互连网的各个角落，的确防不胜防，由于木马程序众多，加之不断有新版本、新品种产生，使得软件无法完全应付，所以手动检查清除是十分必要的。

木马会想尽一切办法隐藏自己，别指望在任务管理器里看到他们的踪影，有些木马更是会和一些系统进程寄生在一起的，如著名的广外幽灵就是寄生在MsgSrv32.exe里；当然它也会悄无声息地启动，木马会在每次用户启动windows时自动装载服务端，Windows系统启动时自动加载应用程序的方法木马都会用上，如启动组、win.ini、system.ini、注册表等等都是木马藏身之地；下边简单说一下如何检查，点开始-运行，输入：

msconfig回车 就会打开系统配置实用程序，先点system.ini，看看shell=文件名，正确的文件名应该是“explorer.exe”，如果explorer.exe后边还跟有别的程序的话，就要好好检查这个程序了，然后点win.ini，“run=”和“load=”是可能加载“木马”程序的途径，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了，当然你也得看清楚，因为如“AOL木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件；最后点“启动”，检查里面的启动项是不是有不熟悉的，如果你实在不清楚的话可以把他们全部取消，然后重新运行msconfig，看一下有没有取消的启动项重新被选中的，一般木马都会存在于内存中，（就是线程插入，然后隐藏进程的木马，DLL无进程木马就不会驻留在内存里面，我们在下一次中会讲到）所以发现你取消他的启动项就会自动添加上的，然后你就可以逐步添上你的输入法，音量控制，防火墙等软件的启动项了；还有一类木马，他是关联注册表的文件打开方式的，一般木马经常关联.exe，点开始-运行，输入：regedit回车，打开注册表编辑器，点第一条，也就是HKEY_CLASSES_ROOT，找到exefile，看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ，如果是一个程序路径的话就一定是中木马了，另外配合两种以上的杀毒软件也是必要的，另外在windows下木马一般很难清除，最后重新启动到dos环境下再进行查杀。

防木马程序、防火墙、及杀毒软件介绍：

1、木马克星： 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!

2、绿鹰PC万能精灵2.91 ：专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!

3、Symantec AntiVirus：这个我就不用再介绍了吧，全球最大的杀毒软件！强力推荐8.1企业版。

4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想，采用最底层的网络驱动隔绝，其作用层在网络硬件与Windows网络驱动之间，在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截，保护脆弱的Windows网络驱动不会崩溃 。一.木马生成器

梦幻西游木马生成器.exe

小雨梦幻西游木马生成器.exe

二.木马捆绑器

捆绑器.exe

如果大家有什么安全方便不懂的可以加我 QQ:12709746(注"安全")

俗话说:知己知笔,百战百胜,要防范就要了解,我其码是这样认为的,不知道大家有没有和我一样的