“飞贼”间谍木马(Trojan-Spy.Win32.FlyStudio.ehk)

间谍程序清洁工具——Spy Sweeper
解国军
【期刊名称】《电脑迷》
【年(卷),期】2004(0)10
【摘要】据美国互联网服务提供商Earthlink发表的一篇报告,平均每台电脑感染了28个间谍软件,其中包括木马、键盘记录软件和广告程序等。

这些程序往往是寄生在其它正常的软件中,或是当用户上网时偷偷进入系统中的,这类程序在分类上并不属于病毒,但危害却不可小视。

它们不但可以盗取用户上网信息,个人账号信息,而且还可以通过恶意拔号程序把你的电脑连接到外国,产生巨额话费造成巨大的经济损失。

SpySweeper是一款间谍软件清理工具,它可以快速地在系统中搜索已知的间谍程序,并在浏览网页、收发邮件、下载软件、使用P2P软件时进行实时监控,它甚至能解释间谍软件的所作所为,以增长我们对间谍软件攻击性的认识!
【总页数】2页(P65-66)
【关键词】间谍软件;程序;互联网服务提供商;下载软件;实时监控;记录软件;病毒;经济损失;电脑;扫描方式
【作者】解国军
【作者单位】
【正文语种】中文
【中图分类】TP311.56
【相关文献】
1.拥抱007 间谍坦克Rover Spy Tank [J], 秦瀚钰
2.Spy Sweeper,你的隐私保护神 [J], OKBOY
3.间谍软件剿杀利器--Spy Sweeper [J],
4.I SPY《金牌间谍》 [J], 无
5.欲望间谍SPY OF LUST [J], 铁铁
因版权原因，仅展示原文概要，查看原文内容请购买。

江民公布“网银大盗Ⅲ”病毒技术分析报告电脑资料病毒名称：网银大盗Ⅲ(TrojanSpy.Elelist)病毒类型：木马病毒大小：38400字节传播方式：网络xx年6月8日，江民反病毒中心率先截获"网银大盗Ⅲ"木马病毒(TrojanSpy.Elelist)，详细技术特征如下：1.病毒运行后，将在用户计算机中创立以下文件：%SystemDir%\mssdk32.dll,119字节，%SystemDir%\mslib32.dll,24576字节，%WinDir%\system\user32.exe,38400字节，病毒文件病毒文件2.在表的HKEYCURRENTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\R un下创立："UserMansger"="%WinDir%\system\user32.exe"或修改SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell 为："Shell"="EXPlorer.exe%WinDir%\system\user32.exe"表内容这样，病毒在系统启动时即可运行，3.病毒运行后调用mslib32.dll病毒模块，该模块负责设置挂钩，并对IE页面控件进展监视，一旦认定用户正在某些国外银行的网页上进展交互操作，就把各种IE控件的有关信息(包括用户名、密码输入框，各种选择框，ComboBox选择列表等)记录到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll两个文件中。

4.病毒主程序每隔1秒检查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在，假如存在，就把这2个文件中的内容通过电子邮件发送给病毒作?AHREF="mailto:11list@mail.ru。

目前流行的电脑病毒有哪些电脑病毒、木马的数量依然保持着高速增长，目前主要流行的电脑病毒有哪些呢?下面由店铺给你做出详细的目前流行的电脑病毒介绍!希望对你有帮助!目前流行的电脑病毒介绍：一、机器狗病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 描述：机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒变种繁多，多表现为杀毒软件无法正常运行。

该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑带来严重的威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件(比如explorer.exe，userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点，影子等还原系统软件导致大量网吧(网吧联盟网吧新闻搜狗)用户感染病毒，无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK)，映像挟持，进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁，部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP 欺骗影响网络安全。

二、磁碟机病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 简介:电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。

被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。

trojan原理Trojan是一种恶意软件，通常是通过电子邮件、社交媒体或其他方式传播，隐藏在看似有用的软件或文件中。

一旦被安装，Trojan可以窃取个人信息、控制计算机或网络，并开启后门，使黑客可以随时访问受害者的计算机。

Trojan主要有以下几个特点：1. 伪装成有用的软件或文件，引诱用户下载或安装。

2. 可以传播到整个网络，通过远程控制进行攻击。

3. 可以损坏受感染计算机的文件、系统和硬件。

4. Trojans可以被黑客用于窃取个人信息和密码等敏感数据。

Trojan的工作原理基于以下几个方面：1. 诱骗用户。

Trojan是通过欺骗用户来入侵计算机系统的。

一旦下载或安装Trojan，用户的计算机将会被植入恶意程序，并开始进行恶意活动。

2. 启动后门。

Trojan是一种后门程序，它可以打开一个隐秘的端口，允许黑客从远程访问受感染计算机系统。

这将使黑客能够在未经授权的情况下获取敏感数据和控制整个计算机系统。

3. 控制计算机和网络。

Trojan可以被用于控制计算机和网络系统。

它可以通过发送指令来操纵受感染计算机的操作，并使计算机执行意图不轨的活动。

4. 数据窃取。

通过后门程序，黑客可以获取受感染计算机上的敏感数据。

这些数据包括密码、个人信息和财务数据等。

黑客可以利用这些数据来实施诈骗和其他犯罪行为。

为了对抗Trojan的攻击，我们可以采用以下防御措施：1. 使用防病毒软件。

有许多防病毒软件可以用来保护计算机免受Trojan的侵袭。

这些软件可以检测和防止恶意软件的入侵。

2. 勿打开垃圾邮件。

许多Trojan通过电子邮件和社交媒体等方式传播。

要防止这种攻击，不能打开未知发件人的垃圾邮件，并避免下载不安全的文件。

3. 不要随意安装软件。

Trojan通常伪装成有用的软件或文件，诱使用户下载或安装。

用户应该仔细检查每个软件或文件，并只安装可信赖的软件。

4. 更新系统和软件。

更新操作系统和软件是一种保护电脑免受安全漏洞攻击的重要措施。

解读龙之谷盗号木马Trojan-PSW.Win32.请大家注意一下，不要牺牲咯! 龙之谷盗号木马Trojan-PSW.Win32.OnLineGames.d 捕获时间2010-9-13 危害等级中病毒症状该样本是使用“VC ”编写的盗号木马，用Upack加壳。

由微点主动防御软件自动捕获，长度为“25,436 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取网络游戏“龙之谷”的“用户名”、“密码”等相关信息。

用户中毒后，会出现“龙之谷” 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取。

感染对象Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7 传播途径文件捆绑、网页挂马、下载器下载未安装杀毒软件主动防御软件的手动解决办法：1、手动删除以下文件：%Temp%TML4.tmp %SystemRoot%system32d3d9.dll.tmpz %Sy stemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll%SystemRoot%system32DllCached3d9.dll.tmpx 2、手动更改以下文件用正常的d3d9.dll替换被感染的%SystemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll 变量声明：%SystemDriver% 系统所在分区，通常为“C:” %SystemRoot% WINDODWS所在目录，通常为“C:Windows” %Documents and Settings% 用户文档目录，通常为“C:Documents and Settings” %Temp% 临时文件夹，通常为“C:Documents and Settings当前用户名称LocalSettingsTemp” %ProgramFiles% 系统程序默认安装目录，通常为：“C:ProgramFiles”病毒分析1、病毒利用sc.exe打开服务，结束并删除cryptsvc服务，并且不让此服务随机启动，从而关闭系统认证保护功能; 2、查找临时文件夹路径，在%Temp%下创建文件TML4.tmp,提升自身进程权限; 3、建立进程快照，遍历进程查找explorer.exe,然后将TML4.tmp的进程注入explorer.exe，以达到隐藏自身进程目的; 4、获取系统路径，查找系统文件%SystemRoot%system32d3d9.dll，找到后将其复制为d3d9.dll.tmpz，并且重写该文件,完成后将系统文件d3d9.dll重命名为d3d9.dll.tmpx，并将感染后的%SystemRoot%system32 d3d9.dll.tmpz复制为%SystemRoot%system32d3d9.dll和%SystemRoot%system32DllCached3d9.dll,DLLCache文件夹中原来正常d3d9.dll重命名为d3d9.dll.tmpx,完成后删除%SystemRoot%system32d3d9.dll.tmpx; 5、查找系统文件sfc-os.dll,破坏Windows文件保护。

Trojan.Win32病毒名称：Trojan.win32.中文名：冲击波病毒长度：可变病毒类型：木马危害等级：★影响平台：Win 9X/NT/WIN95/XP/WIN98Trojan.win32.DWSchanger.iy 修改注册表，实现开机自启。

在每个文件夹下生成desktop_.ini文件，文件里标记着病毒发作日期。

删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

感染系统的*.exe、*.com、*.pif、*.src、*.ht ml、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，因此“木马”可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。

搜索硬盘中的*.EXE可执行文件并感染，感染后的文件图标会死机。

解决方案首先是拔下网线，以免病毒升级和变种传输使用PE系统启动删除所有盘符下的病毒文件如autorun.inf使用PE远程注册表查看启动文件并删除启动后使用sreng2删除掉多余的启动项和程序查找出启动的程序和文件删除如果无法删除请使用xdelbox从别的电脑下载drweb-cureit到本机查杀，进行C盘查杀查杀完成请安装drweb专业版升级最新并全盘扫描------------------------------------注意请关闭系统还原删除WINDOWS下的TEMP文件删除IE临时文件删除C:\Documents and Settings\用户名\Local Settings下的临时文件删除不掉的文件请使用xdelbox这个病毒困饶了我很多天，我也是刚刚才找到解决办法。

特此拿来和大家分享。

方法如下：下载一个叫unlocker的软件，很小的，然后安装。

C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。

Trojan-Spy．Win32．Qeds．a病毒技木报告
无
【期刊名称】《网上俱乐部：电脑安全专家》
【年(卷),期】2005(000)007
【摘要】这是一个借助于qQ传播的病毒，该病毒一味走色情路线．很容易就能突破大家的“防线”。

该病毒为蠕虫病毒，长度为20480字节．通过QQ发送病毒文件．并以色情字样作为引诱。

常见的语句包括“美女超短裙被刮破的那一
刻!”、‘推荐-很珍贵历史照片：估计9成人没看到过”和“真正的美女并不是脱光了衣服才够靓！”等（图1）。

病毒运行后会从未知网站上下或病毒“Trojan．Win32．VB．xb”．后者的主要任务在于窃取密码。

【总页数】1页(P74)
【作者】无
【作者单位】无
【正文语种】中文
【中图分类】TP311
【相关文献】
1.网络技木发展对计算机及信息技木的影响 [J], 潘勇
2.番茄病毒病防治技木 [J], 黄瑞海;张春凤
3.PALMEXPO2011专家调研报告专业音响设备及技木 [J], PALM2011调研专家团音响组
4.技木创新理念闪耀王选新闻科学技木奖 [J], 宋迪
5.国防科学技木大学图书馆校庆三十周年期间召开学木报告会 [J], 赵靖宇
因版权原因，仅展示原文概要，查看原文内容请购买。

2006年十大计算机病毒档案及六大整体特征2007年1月10日，国内最大的计算机反病毒厂商江民科技发布2006年计算机病毒疫情报告以及十大病毒排行。

根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，2006年1月到2006年12月，江民反病毒中心共截获新病毒60383种，较2005年增长56%，江民KV病毒预警中心显示，2006年全国共有19319658台计算机感染了病毒，感染计算机病毒66606种。

2006年十大病毒档案1, 病毒名称：Worm/V iking变种数量: 520累计感染计算机: 446450累计感染文件: 36728393病毒中文名：“威金蠕虫”病毒类型：蠕虫危险级别：★★★☆影响平台：Win2003/XP/2000/NT/9x/ME描述：威金蠕虫感染Windows可执行文件，并会查找局域网中所有的共享计算机，尝试猜解它们的密码，试图感染这些计算机。

该病毒还会自动在后台下载并窃取网络游戏玩家的账号和密码，并发送给黑客。

同时，该病毒还会下载一个QQ病毒，自动向用户的QQ好友发送内容为“看看啊。

我最近的照片～才扫描到QQ相册上的!”的消息并附带一个网址，其他用户点击消息中的网址就可能被病毒感染。

2,病毒名称：Backdoor/Huigezi变种数: 13379累计感染计算机: 897592累计上报次数: 6392600病毒中文名：“灰鸽子后门”病毒类型：后门危险级别：★☆影响平台：Win 9X/ME/NT/2000/XP/2003描述：Backdoor/Huigezi.2006.ekr“灰鸽子2006”变种ekr是一个未经授权远程访问用户计算机的后门。

“灰鸽子2006”变种ekr运行后，自我复制到系统目录下。

修改注册表，实现开机自启。

侦听黑客指令，记录键击，盗取用户机密信息（例如，拨号上网密码，URL密码，共享密码）。

另外，“灰鸽子2006”变种ekr还可以下载并执行特定文件，开启或关闭CD-ROM 等。

检测出你电脑上的间谍软件你应该有过这样的遭遇，就是电脑感染上了间谍软件或广告软件。

在这种情况下，解决问题的关键就是要在你的硬盘、内存或Windows注册表中找出间谍软件的所在。

我最近研究了我的主要网络内的几台机器，以找到间谍软件和广告软件的感染信息。

我个人建议，最好能利用一些有效的商业软件和免费软件经常进行这样的检查。

下面介绍一下步骤：1.在使用某种商业软件或免费软件的工具检查之前，尽可能的将机器清理干净。

运行防病毒软件或反间谍软件扫描，一旦发现一些异常的项目立即清除。

有关这一主题的内容在网络上有许多。

需要注意的是，在进入下一步之前，专家们强烈建议使用并运行一种以上的杀毒、反间谍软件扫描以便达到彻底清理。

2.建立一个检查点或者对系统作备份。

如果你使用的是Windows XP，那再方便不过了，这样很快就能建立一个系统恢复点（依次打开：开始菜单――帮助和支持――使用系统还原恢复你对系统的改变，然后点击创建一个还原点的按钮）。

当然还有其他的方法（对于那些使用Windows家族其他操作系统的人来说是唯一的方法）就是创建一整套系统的备份，包括系统状态信息（如果其他办法都不可行的话，你可以使用NTBackup.exe文件；他包含了所有Windows新版本的信息）。

这样的话，万一在接下来的步骤中出了差错，还可以将您的系统恢复到前一个正确的状态。

3.关闭所有不必要的应用程序。

一些反间谍软件从电脑运行的所有线程和注册表中查找不正常迹象，因此先退出所有应用程序再启动反间谍程序运行检查，可以节省大量时间。

4.运行反间谍程序。

在这一步，我使用了Hijack This这个软件。

将下载回来的Zip文件解压到你想要的目录，然后双击HijackThis.exe这个执行文件，会跳出一个带有提示“Do a system scan and save a logfile.”的窗口。

默认状态下，日志文件会保存在“我的文档”中，我发现在保存的日志文件名称中加入日期和时间信息很有用，这样的话，一个名为hijackthis.log的文件就改名为hijackthis-yymmdd:hh.mm.log（hh.mm是24小时制的几点几分）。

彻底清除电脑＂卧底＂的木马杀手导读:人们一般只谈“毒”色变，因为病毒一般会带来直接的破坏，曾经有一份报告说几乎每台上网时间超过一年的电脑中都存在着间谍软件。

很多用户对自己的电脑很放心,对木马和间谍软件却重视不够，其实它们比病毒的危害更大，有些像“慢性”的毒药，当你发现自己的账号或密码丢失时，已经为时已晚。

下面给大家介绍一款木马查杀软件和防范方法，把这些“卧底”软件彻底清除出去。

木马杀手Trojan RemoverTrojan Remover是一款专门用来清除特洛伊木马并自动修复系统文件的软件。

当怀疑系统中了木马时，点击工具栏上的“Scanning for Active Trojan”按钮，即可立刻开始扫描系统中是否有正在活动的木马.Trojan Remover软件版本：6.2.3软件大小：3073KB运行程序，第一次选择“Scan A Drive or Directory”按钮时，会出现提示是否扫描系统目录，建议不要跳过这一步选择“YES”进行扫描，这样有利于查找和精确处理系统中隐藏的木马。

不要忘了勾选“Include Subdirectories”把子目录包括进来。

如果你要设置扫描的文件类型，可以点击“Options→Files to Scan”打开文件扫描参数设置对话框，在上面自定义需要扫描的文件类型，切记“SCR、SWF、VBS、SYS、VXD、JES、JS”等几个文件类型一定要选中。

为了加快处理速度，你可以选择在发现木马时自动清除，设置好后就可以点击“Start Scan”开始扫描了。

当扫描到木马时，Trojan Remover会弹出警告窗口显示木马的名称与位置，并删除相关的设置更改木马程序的名称，以阻止木马重新启动。

若是遇到常驻在内存的木马，Trojan Remover 会重新启动机器，停止木马执行并保护系统，使用者不需进入安全模式甚至DOS模式下就能清除木马。

如果出现Trojan Remover 频繁报警的情况，建议你选择“Show Alerts on confiremed Trojons Only”仅在发现特洛伊木马时发出警告。

关注恶意软件：名称：“恶意点击器”木马（Trojan-Clicker.Win32.Agent.ntx）大小：929 KB是否加壳：否影响的平台：WIN9X/ME/NT/2000/XP/2003/Vista/Win7创建文件：C:\Documents and Settings\Administrator\桌面\INTERNAT EXLPORER.lnkC:\Documents and Settings\Administrator\LOCALSETTINGS\TEMP\INSTALLSTAT.EXEC:\Documents and Settings\Administrator\LOCALSETTINGS\TEMP\KK.ILLC:\Documents and Settings\Administrator\LOCALSETTINGS\TEMP\STATISTICS.DLLC:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnkC:\Program Files\INTERNET EXPLORER\CONNECTIONWIZARD\WEB.ICWC:\Program Files\MICROSOFT\INC:\Program Files\MICROSOFT\PACK.DATC:\Program Files\MICROSOFT\TC:\Program Files\MICROSOFT\Y.DATC:\Program Files\WINSAFE\33.BATC:\Program Files\WINSAFE\33.DATC:\Program Files\WINSAFE\KK.ILLC:\Program Files\WINSAFE\WIN.DATC:\Program Files\WINSAFE\WIN.ILL修改注册表：HKEY_CURRENT_USER\Software\Microoft\Windows\CurrentVersion\E xplorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA -08002B30309D}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A 2EA-08002B30309D}行为描述：该恶意程序看上去很像正常安装程序，运行时会在前台显示安装界面，在后台秘密执行恶意行为。

Win32.Neshta.AWin32.Neshta.A 概观作为计算机病毒家族的成员, Win32.Neshta.A 由于其中实施的做法，个⼈计算机被列为个⼈计算机的恶梦。

这个 Win32.Neshta.A 与其他⼏个恶意软件的恶意软件⼀样，在个⼈计算机中没有被⽤户通知的情况下获得静默的渗透。

病毒介绍:病毒名称: Virus/Win32.Neshta (感染式病毒)病毒类型：感染式病毒影响的平台：WIN9X/ME/NT/2000/XP/2003/Vista/WIN7/ WIN8病毒表现：该病毒为感染式病毒。

该病毒会在系统%SystemRoot%⽬录下释放⽂件，并通过添加注册表的⽅式确保每个exe⽂件执⾏的时候都会先执⾏这个⽂件。

该病毒还会收集系统信息发送到远程服务器上，如当前安装的软件列表，当前运⾏的软件列表，以及SMTP邮件账号等。

技术细节关于 Win32.Neshta.A威胁名称Win32.Neshta.A类别电脑病毒/恶意软体描述Win32.Neshta.A 是个⼈计算机的恶意威胁，旨在欺骗⽤户，然后从他们那⾥获得⾮法利润。

分配通过免费软件下载，垃圾邮件运动和盗版软件。

负⾯特征修改系统和浏览器的默认设置，加密个⼈计算机的⽂件，违反⽤户的隐私，减慢系统的速度等受影响的浏览器 Internet Explorer受影响操作系统 Windows 10恶意⾏为实施 Win32.Neshta.A 在 OSWin32.Neshta.A 已基本上由⽹络骗⼦编程，通过破坏程序，重新格式化硬盘驱动器或删除⽂件来伤害个⼈计算机。

这种病毒可能会⾃动复制或⽤流量来洪泛⽹络，使得⽤户⼏乎不可能执⾏任何恶性活动。

这种恶意软件会严重影响系统的性能，捕捉系统内存，有时甚⾄会导致系统内存不⾜ OS 崩溃也。

常见症状 Win32.Neshta.A 上 OSWin32.Neshta.A 在个⼈电脑中静静地增加⾃⼰，⽽不会被⽤户通知。

斩断盗号黑手——邂逅“ws32．exe”木马
谭鑫
【期刊名称】《网上俱乐部：电脑安全专家》
【年(卷),期】2005(000)005
【摘要】我在一家公司做销售工作，工作时忙忙碌碌的，难得的休息日也就玩玩电脑打发时间。

这周本来安排好好休息一下，但可恶的“ws32．exe”木马却和我开了个小玩笑。

【总页数】1页(P31)
【作者】谭鑫
【作者单位】无
【正文语种】中文
【中图分类】TP311.1
【相关文献】
1.赤手空拳斩断双进程木马的黑手 [J], 俞木发
2.斩断伸向WoW的黑手——查杀防盗号木马 [J], 天涯衰草
3.假站盗号幕后黑手就是你 [J], 韩鹏
4.基于\"执行路径重建\"的盗号木马逆向分析取证方法研究 [J], 徐国天
5.基于FTP协议的盗号木马通信流量分析方法研究 [J], 沈耀童;徐国天;程斌
因版权原因，仅展示原文概要，查看原文内容请购买。

敲诈者(Trojan Disclies e)解决方案病毒防范电脑资料该木马程序以敲诈勒索钱财为目的，使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏，造成用户数据丧失，病毒名称：敲诈者（Trojan.Disclies.e）病毒类型：木马程序感染系统：Windows 9X/Me/NT/2000/XP病毒介绍：该木马程序运行后，可恶意隐藏计算机用户系统中的文档，同时在系统里出现可以帮助计算机用户修复丧失掉的数据信息的文本文件“磁盘.txt”，目的是向受感染的计算机用户索取钱财。

1、生成病毒文件计算机用户一旦受到该木马程序的感染，会在系统目录%System％下生成自身的拷贝，名称为redplus.exe。

（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为C:\Windows\System32）2、生成文本文件“硬盘.txt”木马程序进入受感染计算机用户的系统以后，会在“开始\所有程序\启动”里生成一个文本文件“硬盘.txt”，其内如如下：“1、你的硬盘资料丧失了......2、你必须使用磁盘修复工具......…………7、按以上方法做的，一定能修复的资料包括：”当用户按照“磁盘.txt”中描述的步骤，运行redplus.exe后，会显示“……如何获得正版软件的序列号？必须按一下方法做”3、隐藏文档该木马程序一旦被运行以后，会在计算机系统根目录下建立属性为系统、隐藏和只读的备份文件夹“控制面板”，同时它会搜索计算机系统中所有后缀名为.xls、.doc、.mdb、.ppt、.wps的文件，找到后把这些文件移动到备份文件夹中，这样计算机用户的数据文件就被隐藏起来，外表上看起来是系统中上述文件丧失了，已到达向受感染的计算机用户索取钱财的目的，4、终止进程该木马程序运行时，还会试图终止除几个系统进程之外的所有系统正在运行的进程程序。

“文件夹模仿者”（win32.troj.fakefoldert.yl.1406378），这是一个可借助U盘传播的木马程序。

该毒还通过将自己的文件伪装成文件夹图标，欺骗用户点击。

你试试看用瑞星在安全模式下全盘杀毒进入安全模式的方法是1、在计算机开启BIOS加载完之后，迅速按下F8键，在出现的WindowsXP高级选项菜单中选择“安全模式”；2、如果有多系统引导，在选择WindowsXP启动时，当按下回车键，就应该迅速地按下F8键（最好两只手进行操作），在出现的WindowsXP高级选项菜单中选择“安全模式”。

摘要：今天突然发现计算机有点异常，只要一打开Windows资源管理器左侧的文件夹，Explorer.exe就会崩溃，检查了一下发现中了W32.Downadup.autorun病毒。

尽管机器安装了最新版本的瑞星杀毒软件，但是根本就检测不到该病毒。

Symantec可以检测到，但是单位的涉密计算机就不允许安装国外的杀毒软件，只能用瑞星。

在网上搜索了一下，在Symantec的网站上可以下载杀毒软件包。

下回来运行了一下，可以把病毒删除了，下面是删除的日志文件：全文：/zealsoft/archive/2009/05/11/1454194.html我说过瑞星杀不了的病毒，结果发现换成Symentec，也会有杀不了的病毒。

今天就碰上一个：Win32.Troj.FakeFolderT.yo.1406378。

这个病毒的症状就是你插入一个新U盘，它就会在U盘上建立几个和U盘上目录同名的.EXE文件，从而达到传播的目的。

这是个病毒变种，最新的Symentec也没有查出来。

金山的在线杀毒可以查出来，但是如果想杀需要交钱。

这点不如Symentec厚道，Symentec查出的病毒大多提供免费的杀毒工具，买不买没关系这个病毒的清除似乎不难，先在任务管理器中找到一个文件名为随机生成的数字的进程，我的机器上为6261B2.EXE，然后直接关闭这个进程。

⽊马程序Trojan-Spy.Win32.Agent.cfu清除⽅法⽊马程序Trojan-Spy.Win32.Agent.cfu该样本程序是⼀个使⽤Delphi编写的程序，程序采⽤MEW 1.x加壳企图躲避特征码扫描，长度为67,908字节，图标为windows 默认图标，病毒扩展名为exe，主要传播途径⽹页挂马、⽂件捆绑、⿊客攻击。

病毒分析 该样本程序被激活后释放systen.dll⽂件到%systemroot%\system32⽬录下，释放451062.dll⽂件（该⽂件名为6位或7位随机数字）到%systemroot%⽬录下，运⾏批处理删除⾃⾝；添加注册表相关键值将systen.dll注⼊到Winlogon进程中，获取⿏标键盘事件；连接远程⽹络下载其他病毒；与⿊客通信，接受⿊客远程控制。

技术细节病毒添加的注册表项：项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\BITS键值：DllName指向⽂件：%systemroot%\system32\Systen.dll安全提⽰ 已安装使⽤微点主动防御软件的⽤户，⽆须任何设置，微点主动防御将⾃动保护您的系统免受该病毒的⼊侵和破坏。

⽆论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。

如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提⽰您“发现未知间谍软件”，请直接选择删除处理 如果您已经将微点主动防御软件升级到最新版本，微点将报警提⽰您发现“Trojan-Spy.Win32.Agent.cfu”，请直接选择删除 对于未使⽤微点主动防御软件的⽤户，微点反病毒专家建议：1、不要在不明站点下载⾮官⽅版本的软件进⾏安装，避免病毒通过捆绑的⽅式进⼊您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进⾏查杀，并开启防⽕墙拦截⽹络异常访问，如依然有异常情况请注意及时与专业的安全软件⼚商联系获取技术⽀持。

木马病毒：植入电脑的间谍作者：刘向阳来源：《数码世界》2008年第12期一、木马病毒危害恶劣最近，微软推出“黑屏行动”，网上讨论声一片。

尽管微软再度声明“黑屏行动”绝对不会收集用户个人信息，但是从微软的技术手段可以看出，想要轻而易举地进入用户电脑，易如反掌。

北京中银律师事务所律师董正伟已向公安部举报微软“黑屏行动”侵犯用户隐私、危害信息安全，是中国最大的黑客行为，要求公安部展开侦查并追究微软公司的刑事责任。

微点主动防御软件已自动捕获了多种假冒微软“黑屏”破解程序和在微软“黑屏”破解程序上捆绑灰鸽子变种的病毒。

专家介绍，这些灰鸽子变种病毒经过了“免杀”处理，一旦用户安装这些“破解程序”，黑客便可远程控制用户的计算机，盗取用户的网游、银行、股票交易账号等信息，甚至还可打开用户计算机上的摄像头，拍下用户的私密生活。

“黑屏行动”和灰鸽子变种的病毒，其实就是一种木马病毒。

木马病毒是一种远程控制程序，一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，从而远程控制中毒电脑，肆无忌惮地查看、下载他人电脑中的内容，于是信息安全和个人隐私也就全无保障了。

08年5月，公安部公共信息网络安全监察局举办了2008年度全国信息网络安全状况暨计算病毒疫情调查活动。

数据显示，在发生安全事件的类型中，感染计算机病毒、蠕虫和木马程度依然十分突出，占70%。

木马病毒是互联网最大的危害之一，安全部门破获很多通过木马窃取信息的案件。

2007年监测到大陆地区被植入木马的主机数量，比2006年增加了26倍。

作为一种蓄意设计的软件程序，计算机病毒的功能从传统的干扰计算机操作，毁坏或删除数据，并能自我复制和自行传播到其他计算机和整个互联网，转变到“利用系统和软件漏洞，侵入目标系统，记录并窃取信息”的木马等恶意程序，计算机病毒的发作模式也和“早期大举进攻、损毁数据的暴露型不同，变得更‘安静’，如木马程序一样远程控制他人电脑，窃取数据等信息”。