“白金远控”木马(Trojan-PSW.Win32.Bjlog.hvc)

合集下载

银行木马Gugi新变种绕过安卓6．0的保护机制

银行木马Gugi新变种绕过安卓6．0的保护机制
佚名
【期刊名称】《中国信息安全》
【年(卷),期】2016(0)10
【摘要】近期，某国外安全团队发现移动银行木马Gugi的新变种病毒Gugi．c，该病毒变种能够绕过安卓6．0中新添加的两个安全功能：应用程序覆盖权限和对危险应用程序活动的动态权限清求。

【总页数】1页(P12-12)
【关键词】移动银行;保护机制;木马;新变种;应用程序;安全功能;变种病毒;程序覆盖【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.短信消费须防"新陷阱"/登陆"互联星空"勿忘网络安全/木马病毒出现新变种/警惕网络"中奖"骗局 [J],
2.警惕!安卓新型变种病毒专黑手机银行App [J], ;
3.安卓新漏洞遭遇控制型木马“索马里海盗” [J], 周建峰
4.病毒名称：安德夫木马变种GAS（Trojan．Win32．Undef．gas） [J],
5.广告类恶意木马程序新变种被发现——国家计算机病毒中心监测发现广告类恶意木马程序新变种 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

特洛伊木马Win32.Puper.JZ篡改浏览器主页-电脑资料

特洛伊木马Win32.Puper.JZ篡改浏览器主页-电脑资料
Win32.Puper.JZ病毒特征
病毒名称：Win32.Puper.JZ
疯狂性：低
破坏性：低
普及度：低
Win32.Puper.JZ病毒描述：
Win32.Puper.JZ是一种特洛伊木马病毒，它会篡改被感染机器IE 浏览器的主页及默认搜索页面地址，。

同时还监控被感染机器所访问的网站。

病毒文件是大小为13,824字节的Win32可运行程序。

运行时，病毒会在系统目录%System%中复制下列病毒副本文件：HHK.DLL
intmonp.exe
hp.tmp
注：< xxxx >是四位随机产生的十六进制数值，
电脑资料
《特洛伊木马Win32.Puper.JZ篡改浏览器主页》(https://www.)。

例如：hpAB3E.tmp。

Win32.Puper.JZ病毒危害：
Win32.Puper.JQ通过修改注册表键值，篡改用户IE主页、搜索页面和Search Bar；
监控互联网活动；
删除系统中的BHO（Browser Helper Objects）。

建议：（这个都是一样的）
不要随意运行EXE文件；
系统设置强壮的管理员口令。

“KILL”提示大家：
1.不要随意运行邮件的附件，尤其是英文邮件。

2.最好及时升级病毒代码库。

3.建议企业级用户使用网关型产品。

4.关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

目前流行的电脑病毒有哪些

目前流行的电脑病毒有哪些电脑病毒、木马的数量依然保持着高速增长，目前主要流行的电脑病毒有哪些呢?下面由店铺给你做出详细的目前流行的电脑病毒介绍!希望对你有帮助!目前流行的电脑病毒介绍：一、机器狗病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 描述：机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒变种繁多，多表现为杀毒软件无法正常运行。

该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑带来严重的威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件(比如explorer.exe，userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点，影子等还原系统软件导致大量网吧(网吧联盟网吧新闻搜狗)用户感染病毒，无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK)，映像挟持，进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁，部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP 欺骗影响网络安全。

二、磁碟机病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 简介:电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。

被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。

蠕虫病毒Win32 Luder K

病毒特性
感染方式：运行时，Win32/Luder.K复制"alsys.exe"到%System%目录，并设置文件属性为隐藏。随后，修改以下注册表键值，以确保在每次系统启动时运行这个副本： HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Agent = "%System%\alsys.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Agent = "%System%\alsys.exe" 蠕虫还生成"klllekkdkkd"互斥体，以确保每次只有一个副本运行。注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32； 95，98和 ME的是C:\Windows\System； XP的是 C:\Windows\System32。
传播方式
通过邮件传播发件
主题可能是附件名称
Luder.K从 'Z:\'到 'C:\'驱动器上搜索小于122,880字节并包含"exe", "scr"和 "rar"扩展名的文件，查找邮件。
蠕虫执行DNS MX (mail exchanger)查询，为每个域找到适合的邮件服务器来发送病毒。它使用本地配置的默认的DNS服务器来执行这些查询。
Luder.K尝试发送邮件到它收集的每个邮件。蠕虫发送的邮件带有以下特点：
蠕虫使用任意名称（从蠕虫自带的一个列表中选择），或生成一个任意字符的字符串并结合"yahoo"，例如。

Windows常见的病毒、木马的进程列表

【导读】本文含概了windows几乎所有常见的病毒、木马的进程名程，检查你的系统进程，看看是否中招。

exe → BF Evolution Mbbmanager.exe →聪明基因_.exe → Tryit Mdm.exe → Doly 1.6-1.7Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者Absr.exe → Backdoor.Autoupder Mmc.exe →尼姆达病毒Aplica32.exe →将死者病毒 Mprdll.exe → BlaAvconsol.exe →将死者病毒 Msabel32.exe → Cain and AbelAvp.exe →将死者病毒 Msblast.exe →冲击波病毒Avp32.exe →将死者病毒 Mschv.exe → ControlAvpcc.exe →将死者病毒 Msgsrv36.exe → ComaAvpm.exe →将死者病毒 Msgsvc.exe →火凤凰Avserve.exe →震荡波病毒 Msgsvr16.exe → Acid ShiverBbeagle.exe →恶鹰蠕虫病毒 Msie5.exe → CanassonBrainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livupCfiadmin.exe →将死者病毒 Mstesk.exe → Doly 1.1-1.5Cfiaudit.exe →将死者病毒 Netip.exe → Spirit 2000 BetaCfinet32.exe →将死者病毒 Netspy.exe →网络精灵Checkdll.exe →网络公牛 Notpa.exe → BackdoorCmctl32.exe → Back Construction Odbc.exe → TelecommandoCommand.exe → AOL Trojan Pcfwallicon.exe →将死者病毒Diagcfg.exe →广外女生 Pcx.exe → XplorerDkbdll.exe → Der Spaeher Pw32.exe →将死者病毒Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeapDvldr32.exe →口令病毒 Regscan.exe →波特后门变种Esafe.exe →将死者病毒 Tftp.exe →尼姆达病毒Expiorer.exe → Acid Battery Thing.exe → ThingFeweb.exe →将死者病毒 User.exe → SchwindlerFlcss.exe → Funlove病毒 Vp32.exe →将死者病毒Frw.exe →将死者病毒 Vpcc.exe →将死者病毒Icload95.exe →将死者病毒 Vpm.exe →将死者病毒Icloadnt.exe →将死者病毒 Vsecomr.exe →将死者病毒Icmon.exe →将死者病毒 Server.exe → Revenger, WinCrash, YAT Icsupp95.exe →将死者病毒 Service.exe → TrinooIexplore.exe →恶邮差病毒 Setup.exe →密码病毒或Xanadu Rpcsrv.exe →恶邮差病毒 Sockets.exe → VampireRundll.exe → SCKISS爱情森林 Something.exe → BladeRunner Rundll32.exe→狩猎者病毒 Spfw.exe →瑞波变种PX Runouce.exe →中国黑客病毒 Svchost.exe (线程105) →蓝色代码Scanrew.exe →传奇终结者 Sysedit32.exe → SCKISS爱情森林Scvhost.exe →安哥病毒 Sy***plor.exe → wCratServer 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe →冰河Intel.exe →传奇叛逆 Syshelp.exe →恶邮差病毒Internet.exe →传奇幽灵 Sysprot.exe → Satans Back DoorInternet.exe →网络神偷 Sysrunt.exe → RipperKernel16.exe → Transmission Scount System.exe → s**tHeapKernel32.exe →坏透了或冰河 System32.exe → DeepThroat 1.0Kiss.exe →传奇天使 Systray.exe → DeepThroat 2.0-3.1Krn132.exe →求职信病毒 Syswindow.exe → Trojan CowLibupdate.exe → BioNet Task_Bar.exe → WebExLoad.exe →尼姆达病毒 Taskbar →密码病毒 FrethemLockdown2000.exe →将死者病毒 Taskmon.exe →诺维格蠕虫病毒Taskmon32 →传奇黑眼睛 Tds2-98.exe →将死者病毒Tds2-Nt.exe →将死者病毒 Temp $01.exe → SnidTempinetb00st.exe → The Unexplained Tempserver.exe → Delta SourceVshwin32.exe →将死者病毒 Vsstart.exe →将死者病毒Vw32.exe →将死者病毒 Windown.exe → Spirit 2000 1.2Windows.exe →黑洞2000 Winfunctions.exe → Dark ShadowWingate.exe →恶邮差病毒 Wink????.exe →求职信病毒Winl0g0n.exe →笑哈哈病毒 Winmgm32.exe →巨无霸病毒Winmsg32.exe → Xtcp Winprot.exe → ChupachbraWinprotecte.exe → Stealth Winrpc.exe →恶邮差病毒Winrpcsrv.exe →恶邮差病毒 Winserv.exe → SoftwarstWubsys.exe →传奇猎手 Winupdate.exe → Sckiss爱情森林Winver.exe → Sckiss爱情森林 Winvnc.exe →恶邮差病毒Winzip.exe → ShadowPhyre Wqk.exe →求职信病毒常见病毒、木马进程速查exe → BF Evolution Mbbmanager.exe →聪明基因_.exe → Tryit Mdm.exe → Doly 1.6-1.7Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者Absr.exe → Backdoor.Autoupder Mmc.exe →尼姆达病毒Aplica32.exe →将死者病毒 Mprdll.exe → BlaAvconsol.exe →将死者病毒 Msabel32.exe → Cain and Abel Avp.exe →将死者病毒 Msblast.exe →冲击波病毒Avp32.exe →将死者病毒 Mschv.exe → ControlAvpcc.exe →将死者病毒 Msgsrv36.exe → ComaAvpm.exe →将死者病毒 Msgsvc.exe →火凤凰Avserve.exe →震荡波病毒 Msgsvr16.exe → Acid Shiver Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe → CanassonBrainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup Cfiadmin.exe →将死者病毒 Mstesk.exe → Doly 1.1-1.5 Cfiaudit.exe →将死者病毒 Netip.exe → Spirit 2000 Beta Cfinet32.exe →将死者病毒 Netspy.exe →网络精灵Checkdll.exe →网络公牛 Notpa.exe → BackdoorCmctl32.exe → Back Construction Odbc.exe → Telecommando Command.exe → AOL Trojan Pcfwallicon.exe →将死者病毒Diagcfg.exe →广外女生 Pcx.exe → XplorerDkbdll.exe → Der Spaeher Pw32.exe →将死者病毒Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeapDvldr32.exe →口令病毒 Regscan.exe →波特后门变种Esafe.exe →将死者病毒 Tftp.exe →尼姆达病毒Expiorer.exe → Acid Battery Thing.exe → ThingFeweb.exe →将死者病毒 User.exe → SchwindlerFlcss.exe → Funlove病毒 Vp32.exe →将死者病毒Frw.exe →将死者病毒 Vpcc.exe →将死者病毒Icload95.exe →将死者病毒 Vpm.exe →将死者病毒Icloadnt.exe →将死者病毒 Vsecomr.exe →将死者病毒Icmon.exe →将死者病毒 Server.exe → Revenger, WinCrash, YAT Icsupp95.exe →将死者病毒 Service.exe → TrinooIexplore.exe →恶邮差病毒 Setup.exe →密码病毒或Xanadu Rpcsrv.exe →恶邮差病毒 Sockets.exe → VampireRundll.exe → SCKISS爱情森林 Something.exe → BladeRunner Rundll32.exe→狩猎者病毒 Spfw.exe →瑞波变种PX Runouce.exe →中国黑客病毒 Svchost.exe (线程105) →蓝色代码Scanrew.exe →传奇终结者 Sysedit32.exe → SCKISS爱情森林Scvhost.exe →安哥病毒 Sy***plor.exe → wCratServer 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe →冰河Intel.exe →传奇叛逆 Syshelp.exe →恶邮差病毒Internet.exe →传奇幽灵 Sysprot.exe → Satans Back Door Internet.exe →网络神偷 Sysrunt.exe → RipperKernel16.exe → Transmission Scount System.exe → s**tHeapKernel32.exe →坏透了或冰河 System32.exe → DeepThroat 1.0 Kiss.exe →传奇天使 Systray.exe → DeepThroat 2.0-3.1 Krn132.exe →求职信病毒 Syswindow.exe → Trojan Cow Libupdate.exe → BioNet Task_Bar.exe → WebExLoad.exe →尼姆达病毒 Taskbar →密码病毒 Frethem Lockdown2000.exe →将死者病毒 Taskmon.exe →诺维格蠕虫病毒Taskmon32 →传奇黑眼睛 Tds2-98.exe →将死者病毒Tds2-Nt.exe →将死者病毒 Temp $01.exe → SnidTempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source Vshwin32.exe →将死者病毒 Vsstart.exe →将死者病毒Vw32.exe →将死者病毒 Windown.exe → Spirit 2000 1.2 Windows.exe →黑洞2000 Winfunctions.exe → Dark Shadow Wingate.exe →恶邮差病毒 Wink????.exe →求职信病毒Winl0g0n.exe →笑哈哈病毒 Winmgm32.exe →巨无霸病毒Winmsg32.exe → Xtcp Winprot.exe → Chupachbra Winprotecte.exe → Stealth Winrpc.exe →恶邮差病毒Winrpcsrv.exe →恶邮差病毒 Winserv.exe → Softwarst Wubsys.exe →传奇猎手 Winupdate.exe → Sckiss爱情森林Winver.exe → Sckiss爱情森林 Winvnc.exe →恶邮差病毒Winzip.exe → ShadowPhyre Wqk.exe →求职信病毒Wscan.exe → AttackFTP Xx.Tmp.exe →尼姆达病毒Zcn32.exe → Ambush Zonealarm.exe →将死者病毒Wscan.exe → AttackFTP Xx.Tmp.exe →尼姆达病毒Zcn32.exe → Ambush Zonealarm.exe →将死者病毒。

电脑病毒网游大盗

电脑病毒网游大盗以Trojan/PSW.GamePass.hvs为例，“网游大盗”变种hvs是一个木马程序，专门盗取网络游戏玩家的帐号、密码、装备等。

下面由店铺给你对网游大盗病毒做出详细的介绍!希望对你有帮助!网游大盗编辑病毒名称：Trojan/PSW.GamePass病毒中文名：网游大盗病毒类型：木马危险级别：影响平台：Win 9X/ME/NT/2000/XP/2003描述：以Trojan/PSW.GamePass.hvs为例，“网游大盗”变种hvs是一个木马程序，专门盗取网络游戏玩家的帐号、密码、装备等。

2变种bu编辑病毒名称：Trojan/PSW.GamePass.bu中文名：“网游大盗”变种bu病毒长度：可变病毒类型：木马危害等级：影响平台：Win 9X/ME/NT/2000/XP/2003描述：Trojan/PSW.GamePass.bu“网游大盗”变种bu是一个利用网络共享进行传播的木马程序。

“网游大盗”变种bu运行后，在Windows目录下创建病毒副本和一个木马下载器。

修改注册表，实现开机自启。

将病毒文件注入到IEXPLORE.EXE或EXPLORER.EXE的进程中，隐藏自我，防止被查杀。

连接指定站点，侦听黑客指令，下载并执行特定文件，终止某些与安全相关的服务，降低被感染计算机上的安全设置。

遍历用户计算机的C到Y驱动器，搜索共享文件夹，一经发现便利用空用名和空密码打开共享文件夹，并自我复制到共享文件夹下，感染该文件夹下所有.exe文件，实现网络共享传播。

3代理变种sq编辑病毒名称：Backdoor/Agent.sq中文名：“代理”变种sq病毒长度：可变病毒类型：后门危害等级：影响平台：Win 9X/ME/NT/2000/XP/2003描述：Backdoor/Agent.sq“代理”变种sq是一个从黑客指定站点下载其它病毒的后门。

“代理”变种sq运行后，自我复制到系统目录下。

侦听黑客指令，开启TCP 25端口，连接黑客指定站点，下载其它病毒，并在被感染计算机上自动运行。

所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序

所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序/Huigezi.2008.qef中文名称:""变种qef病毒长度:276505字节病毒类型:后门危险级别:?影响平台:Win9X/ME/NT/2000/XP/2003MD5校验:f76d4e58ab1bbad03736de5848f2bac0特征描述:Backdoor/Huigezi.2008.qef""变种qef是""家族中的最新成员之一，采用"delphi"语言编写，并且经过加壳保护处理。

""变种qef运行后，会自我复制到被感染计算机系统的"%SystemRoot%\"文件夹下，并重命名为".exe"，文件属性设置为"系统、隐藏、只读"。

""变种qef会在被感染计算机的后台调用系统IE浏览器进程"iexplore.exe"，并把恶意代码注入其中调用执行，隐藏自我，防止被查杀。

如果被感染的计算机上已安装并启用了防火墙，则该后门会利用防火墙的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。

""变种qef属于反向连接后门程序，会在被感染计算机系统的后台连接攻击者指定的远程服务器站点，获取远程控制端真实地址，然后侦听攻击者指令，从而达到被攻击者远程控制的目的。

该后门具有远程监视、控制等功能，可以对被感染计算机系统中存储的文件进行任意操作，监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可以窃取、修改或删除用户计算机中存放着的机密信息，对用户的信息安全、个人隐私，甚至是商业机密构成了严重的威胁。

用户计算机一旦感染了""变种qef便会变成网络僵尸傀儡主机，攻击者利用这些傀儡主机可对指定站点发起DDoS攻击、洪水攻击等。

Trojan PSW Win32 QQPass uw

感谢观看
Trojan PSW Win32 QQPass uw
计算机病毒
01ቤተ መጻሕፍቲ ባይዱ名称
03 行为分析
目录
02 简介 04 清除方案
该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以跟随系统启动来引导病毒体。病毒体试图关闭掉若干安全软件的服务，并修改 host文件，试图阻截安全类软件升级。此病毒会自动在移动设备中释放病毒副本，并添加Atuorun.inf文件来起到传播自身的目的。此外，病毒会卸载有关瑞星产品的注册表键值，修改regedit.exe、msconfig.exe等文件映射路径，此病毒为一个盗取QQ账号的病毒。
行为分析
衍生下列副本与文件 %System32%\severe.exe %System32%\xwwume.dll %System32%\xwwume.exe %System32%\drivers\jyoapg %移动设备 %\servet.exe %移动设备 %\autorun.inf 新建注册表键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Image File Execution Options\360Safe.exe\Debugger Value: String: "%WINDOWS%\System32\drivers\jyoapg"
清除方案
1、使用安天木马防线可彻底清除此病毒 (推荐 ) 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。(1)使用安天木马防线“进程管理”关闭病毒进程 severe.exe xwwume.exe jyoapg\ 删除并恢复病毒添加与修改的注册表键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Image File Execution Options\360Safe.exe\Debugger Value: String: "%WINDOWS%\System32\drivers\jyoapg" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Image File Execution Options\adam.

解读龙之谷盗号木马Trojan-PSW.Win32.

解读龙之谷盗号木马Trojan-PSW.Win32.请大家注意一下，不要牺牲咯! 龙之谷盗号木马Trojan-PSW.Win32.OnLineGames.d 捕获时间2010-9-13 危害等级中病毒症状该样本是使用“VC ”编写的盗号木马，用Upack加壳。

由微点主动防御软件自动捕获，长度为“25,436 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取网络游戏“龙之谷”的“用户名”、“密码”等相关信息。

用户中毒后，会出现“龙之谷” 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取。

感染对象Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7 传播途径文件捆绑、网页挂马、下载器下载未安装杀毒软件主动防御软件的手动解决办法：1、手动删除以下文件：%Temp%TML4.tmp %SystemRoot%system32d3d9.dll.tmpz %Sy stemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll%SystemRoot%system32DllCached3d9.dll.tmpx 2、手动更改以下文件用正常的d3d9.dll替换被感染的%SystemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll 变量声明：%SystemDriver% 系统所在分区，通常为“C:” %SystemRoot% WINDODWS所在目录，通常为“C:Windows” %Documents and Settings% 用户文档目录，通常为“C:Documents and Settings” %Temp% 临时文件夹，通常为“C:Documents and Settings当前用户名称LocalSettingsTemp” %ProgramFiles% 系统程序默认安装目录，通常为：“C:ProgramFiles”病毒分析1、病毒利用sc.exe打开服务，结束并删除cryptsvc服务，并且不让此服务随机启动，从而关闭系统认证保护功能; 2、查找临时文件夹路径，在%Temp%下创建文件TML4.tmp,提升自身进程权限; 3、建立进程快照，遍历进程查找explorer.exe,然后将TML4.tmp的进程注入explorer.exe，以达到隐藏自身进程目的; 4、获取系统路径，查找系统文件%SystemRoot%system32d3d9.dll，找到后将其复制为d3d9.dll.tmpz，并且重写该文件,完成后将系统文件d3d9.dll重命名为d3d9.dll.tmpx，并将感染后的%SystemRoot%system32 d3d9.dll.tmpz复制为%SystemRoot%system32d3d9.dll和%SystemRoot%system32DllCached3d9.dll,DLLCache文件夹中原来正常d3d9.dll重命名为d3d9.dll.tmpx,完成后删除%SystemRoot%system32d3d9.dll.tmpx; 5、查找系统文件sfc-os.dll,破坏Windows文件保护。

Trojan.win32查杀

Trojan.Win32病毒名称：Trojan.win32.中文名：冲击波病毒长度：可变病毒类型：木马危害等级：★影响平台：Win 9X/NT/WIN95/XP/WIN98Trojan.win32.DWSchanger.iy 修改注册表，实现开机自启。

在每个文件夹下生成desktop_.ini文件，文件里标记着病毒发作日期。

删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

感染系统的*.exe、*.com、*.pif、*.src、*.ht ml、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，因此“木马”可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。

搜索硬盘中的*.EXE可执行文件并感染，感染后的文件图标会死机。

解决方案首先是拔下网线，以免病毒升级和变种传输使用PE系统启动删除所有盘符下的病毒文件如autorun.inf使用PE远程注册表查看启动文件并删除启动后使用sreng2删除掉多余的启动项和程序查找出启动的程序和文件删除如果无法删除请使用xdelbox从别的电脑下载drweb-cureit到本机查杀，进行C盘查杀查杀完成请安装drweb专业版升级最新并全盘扫描------------------------------------注意请关闭系统还原删除WINDOWS下的TEMP文件删除IE临时文件删除C:\Documents and Settings\用户名\Local Settings下的临时文件删除不掉的文件请使用xdelbox这个病毒困饶了我很多天，我也是刚刚才找到解决办法。

特此拿来和大家分享。

方法如下：下载一个叫unlocker的软件，很小的，然后安装。

C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。

蠕虫病毒Win32 Bypuss B

蠕虫病毒Win32 Bypuss B
蠕虫
01 病毒名称
03 传播方式 05 清除
目录
02 感染方式 04 危害
基本信息
Win32/Bypuss.B是一种蠕虫，通过移动存储器传播，尝试发送用户的文档副本到远程服务器。
病毒名称
病毒名称
蠕虫病毒Win32.Bypuss.B, W32.SillyFDC (Symantec), W32/SillyFDC-N (Sophos),.o (Kaspersky)
会定期的被重复写入
如果蠕虫在使用移动存储器的autorun时被调用，它就会打开一个“我的电脑”窗口，列出被感染的驱动器根目录下非隐藏属性的内容。
如果以下进程正在运行，蠕虫会将代码注入到其中一个或者更多的进程中： explorer.exe winlogon.exe lsass.exe svchost.exe qq.exe 如果以下程序正在运行，蠕虫会运行它的恶意代码： alg.exe conime.exe
终止进程
Bypuss.B尝试终止"iparm.exe"进程。
其它信息
当Bypuss.B发送文件到服务器的时候，它可能回应一个信号，卸载蠕虫。在某个特定的日期后蠕虫也会卸载自身。另外，蠕虫删除以下文件：
%Windows%\java\classes\java.dll %System%\kernel32.sys 它还删除以下注册表： HKCR\CLSID\< ClassID >\InprocServer32 HKCR\CLSID\< ClassID > HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\< ClassID > HKLM\SOFTWARE\Microsoft\Internet Explorer\GUID 并修改以下注册表键值：

第五章：病毒技术1

2008©
shilei@
10:28:32
7
蠕虫的感染方式
TCP Port 707 TCP Port 135, 80 大量占线，导致网站无法接受其他连线
TCP Port 135, 80
集體發動攻擊 TCP Port 707
特洛伊木馬 TCP Port 707
TCP Port 135, 80
2008© shilei@ 10:28:32 18
08年3月多次出现仿冒农行网站的网络钓鱼
2008©
shilei@
10:28:32
19
“敲诈者”木马
2008©
shilei@
10:28:32
20
新“敲诈者”木马
2008©
shilei@
《网络安全与管理》
第五章：病毒技术
2008年6月5日星期四10时29分12秒
2007年十大病毒排名
1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫） 2、威金蠕虫（Worm.Viking） 3、熊猫烧香（Worm.Nimaya；又称尼姆亚） 4、网游窃贼（Trojan.PSW.OnlineGames） 5、QQ通行证（Trojan.PSW.QQPass） 6、ARP病毒（多个病毒均具有ARP攻击行为，通称为ARP病毒） 7、征途木马（Trojan.PSW.ZhengTu） 8、MSN相片（Worm.Mail.Photocheat.A） 9、梅勒斯（Trojan.DL.Mnless） 10、灰鸽子（Backdoor.Gpigeon)
2008©
shilei@
10:28:32
10
“熊猫烧香”病毒档案追杀目标：Worm.WhBoy.h 中文名：“熊猫烧香” 病毒长度：可变病毒类型：蠕虫

十大木马威胁个人用户网上银行安全使用

1.木马下载器——让系统安全功能全失，各路盗号木马快乐盗号A V终结者：专门与杀毒软件对抗，破坏用户电脑的安全防护系统，并在用户电脑毫无抵抗力的情况下，大量下载盗号木马的病毒。

机器狗：病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件(比如explorer.exe、userinit.exe、winhlp32.exe等)达到隐蔽启动，通过底层技术穿透还原软件并可以下载大量盗号木马到用户电脑。

磁碟机：会关闭一些安全工具和杀毒软件并阻止其运行，并会不断检测窗口来阻止一些杀毒软件及安全辅助工具。

2.远程控制木马——让你的电脑屏幕现场直播账号密码灰鸽子：一个“中国制造”的隐蔽性极强的木马，连续数年被金山毒霸等反病毒厂商列为年度十大病毒。

用户一旦被入侵，电脑将沦为肉鸡，任人宰割。

攻击者可以对感染机器进行多种任务操作，如屏幕监控，键盘监控，强行视频等等。

3.网银专业盗号家族——专业就是生产力3.1 网银隐身劫匪一个针对工商银行网银的盗号木马。

病毒特征：当用户使用IE浏览器登陆工商银行网银系统进行网上交易时，病毒就会截取用户的支付卡号、接收卡号、密码、收款人姓名、收款人所在地、交易流水号、收款网点机构名、收款人所在网点机构、总金额等全部的敏感信息，窃取用户财产。

3.2 网银黑客盗号器61440一个黑客盗号程序。

病毒特征：与以往的网银盗号木马不同，该病毒在对抗安全软件方面下了些功夫，运行后会替换掉系统桌面文件explore.exe和beep.sys文件，替换后，用户获知系统异常的机会将被降低，从而让病毒能够躲避查杀。

然后记录下用户通过IE浏览器上网时输入的类似银行帐号和密码的数据，接着悄悄连接病毒作者指定的地址http://www.silvana****，将记录到的数据发送出去，导致用户网银帐号丢失。

3.3 网银大盗“网银大盗”病毒开启了偷盗网上银行个人用户信息的先河，并立刻引起了公众强烈的反响。

后来\"网银大盗\"出现变种,其共同之处在于：它们都是通过网络非主动地传播，只是在用户浏览某些网页、点击某些不明链接以及打开不明邮件的附件等操作时，才感染用户的电脑;它们的盗取对象都是网上银行个人用户的账号和密码等，然后再利用转账和网上支付等手段来窃取用户网上银行中的存款。

RWX类似灰鸽子远程控制计算机-电脑资料

RWX类似灰鸽子远程控制计算机-电脑资料
“RWX ”变种JK(Win32.Hack.RWX.jk)是一个跟灰鸽子的恶意行为相似的后门程序，。

“广告能手”(Win32.Troj.Mnless)是一个会自动弹出广告窗口的木马病毒。

一、“RWX ”变种JK(Win32.Hack.RWX.jk) 威胁级别：★★
该病毒是跟“灰鸽子”相似，它会利用特殊技术，连接到远程的主机，可完全接管受感染电脑的所有功能，并进行多项危害性极大的操作，包括获取用户摄像头屏幕内容、记录用户聊天记录、查看电脑上的任意文件、利用漏洞进行恶意攻击，执行任意系统操作，重启或关闭电脑等等，
电脑资料
《RWX 类似灰鸽子远程控制计算机》(https://www.)。

不但影响用户电脑系统的正常运作，而且会导致用户的网络私人信息和数据的泄漏。

该病毒运行后，会释放Server44.exe和SVKP.sys等多个病毒文件，连接远程主机，利用T elnet、ICMP、IGMP等漏洞进行攻击。

二、“广告能手”(Win32.Troj.Mnless) 威胁级别：★
该病毒是一个广告播放器，它会将自身加载到电脑的IE里，并不断地弹出广告窗口，不但影响电脑的正常运作，而且占用系统资源，可能导致死机等现象。

此外，它还能通过网络进行自更新。

建议用户及时升级杀毒软件病毒库，预防病毒的入侵。

该病毒运行后，会释放tuvutuv.dll和removalfile.bat两个病毒文件，修改注册表，实现随开机自动启动。

常用的远程控制木马

详细讲解黑客常用的远程控制木马喜欢在网上浏览新闻的人，一定会经常看到某人隐私被黑客盗窃，或者以此来要挟受害人的事情。

这里大家可能要问了，他们是如何做到的呢?其实答案很简单，只不过是利用了远程木马控制实现，下面笔者将会针对黑客圈子里，常见的远程木马进行详细讲解。

一、穿透力极强的Byshell木马Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。

其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。

它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。

1.配置Byshell木马服务端要想配置Byshell木马服务端，我们首先打开下载到本地的“Byshell客户端”程序，在所弹出的“监听端口”对话框内，输入其木马想要监听的端口，默认设置为2007(如图1)。

图1修改完毕后，进入到“Byshell木马客户端”界面，在顶端的工具栏内，单击“配置服务端”按钮，此时就会打开“配置服务端”的对话框(如图2)。

图2在“IP通知地址”标签处，输入自己空间的访问地址，“IP或者DNS域名”标签，则输入自己的本机IP，另外客户端口输入的数字，要与此前设置的监听端口一致，否则会出现肉鸡无法上线的情况。

然后在单击“生成”按钮，在弹出的“另存为”对话框内，选择好所要生成的路径，单击“确定”按钮，就可使其服务端生成完毕。

2.让主动防御纷纷落马为了能够测试Byshell木马的威力，我们这里打开杀毒软件的所有“主动防御”选项，并且将其安全级别提高到最高，然后在运行一下刚生成好的Byshell木马服务端，此时你会发现杀毒软件竟然将它的启动视而不见，并且在客户端还可以看到中招的机器上线。

如果你想对肉鸡进行控制，我们可以选择其上线的机器，然后在上方单击工具栏里的“相关”按钮，如这里单击“文件管理”按钮，就可打开被控制机器的“文件管理”对话框，从中我们可以查阅该肉鸡里的所有硬盘文件。

病毒技术报告：“新网银大盗”（Trojan／PSW.VShell.a）

病毒技术报告：“新网银大盗”（Trojan／PSW.VShell.a）无
【期刊名称】《网上俱乐部：电脑安全专家》
【年(卷),期】2005(000)008
【摘要】7月中旬，今年又—个网银类木马病毒——Trojan／PSW.VShell.a被江民反病毒中心截获，并随即将之命名为“新网银大盗”。

该病毒于2005年8月1日起开始发作，它可能记录用户的键盘输入，盗取工商银行个人网上银行的账号密码，并通过网页脚本把获得的非法信息提交给病毒作者。

【总页数】1页(P71)
【作者】无
【作者单位】无
【正文语种】中文
【中图分类】TP311.56
【相关文献】
1.与网银大盗的决斗——手动清除svchOst.exe病毒 [J], 李靖
2.网银大盗联手灰鸽子病毒变种狂攻网上银行 [J],
3.怕贼惦记,更怕被贼偷当心网上银行被打劫——网银大盗木马详细技术分析报告[J], ;
4.新“网银大盗”8.1发作,工行网银再成下手目标 [J],
5.“网银大盗”系列病毒 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

木马程序Trojan-Spy.Win32.Agent.cfu清除方法

⽊马程序Trojan-Spy.Win32.Agent.cfu清除⽅法⽊马程序Trojan-Spy.Win32.Agent.cfu该样本程序是⼀个使⽤Delphi编写的程序，程序采⽤MEW 1.x加壳企图躲避特征码扫描，长度为67,908字节，图标为windows 默认图标，病毒扩展名为exe，主要传播途径⽹页挂马、⽂件捆绑、⿊客攻击。

病毒分析该样本程序被激活后释放systen.dll⽂件到%systemroot%\system32⽬录下，释放451062.dll⽂件（该⽂件名为6位或7位随机数字）到%systemroot%⽬录下，运⾏批处理删除⾃⾝；添加注册表相关键值将systen.dll注⼊到Winlogon进程中，获取⿏标键盘事件；连接远程⽹络下载其他病毒；与⿊客通信，接受⿊客远程控制。

技术细节病毒添加的注册表项：项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\BITS键值：DllName指向⽂件：%systemroot%\system32\Systen.dll安全提⽰已安装使⽤微点主动防御软件的⽤户，⽆须任何设置，微点主动防御将⾃动保护您的系统免受该病毒的⼊侵和破坏。

⽆论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。

如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提⽰您“发现未知间谍软件”，请直接选择删除处理如果您已经将微点主动防御软件升级到最新版本，微点将报警提⽰您发现“Trojan-Spy.Win32.Agent.cfu”，请直接选择删除对于未使⽤微点主动防御软件的⽤户，微点反病毒专家建议：1、不要在不明站点下载⾮官⽅版本的软件进⾏安装，避免病毒通过捆绑的⽅式进⼊您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进⾏查杀，并开启防⽕墙拦截⽹络异常访问，如依然有异常情况请注意及时与专业的安全软件⼚商联系获取技术⽀持。

不得不知的U盘强悍病毒

不得不知的U盘强悍病毒导读:U盘在全世界拥有众多的使用者，平均几个人可能就拥有一款u盘，因此，防范病毒显得尤为重要。

在众多的病毒中，最为强悍的当属今天我们要为大家介绍的这两种，如果我们能知晓病毒便能从根本上将其消除，便能有助于我们更好地防范病毒了。

使用U盘时我们一定要注意这两种病毒：文件夹模仿者”(Win32.Troj.FakeFolderT.yl.1407388)，这是一个通过U盘传播的广告程序，它会将自己伪装成U盘中的文件夹，欺骗用户点击。

一旦运行就会感染电脑其他磁盘中的文件夹，并弹出广告页面。

“恶意辅助盗号器”(Win32.PSWTroj.GameOnline.49152)，此毒为一款盗号木马。

它主要是通过捆绑一些网游外挂来进行传播，盗窃目标包括了目前主流的各类网游。

一、Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)及其变种Win32.Troj.FakeFolderT.yo.1406378会将用户系统中的文件夹图标隐藏起来，并生成采用文件夹图标的同名病毒文件，用户必须点击病毒文件才可进入文件夹。

这使得病毒得以绕过系统或安全软件的U盘监控功能。

而一旦被激活，它就会弹出大量的广告网页。

要是直接删除病毒，可能会造成那些被隐藏的文件找不回来。

不过，只要使用金山U盘专杀，即可修复。

二、“恶意辅助盗号器”(Win32.PSWTroj.GameOnline.49152)的感染量有所增长，它所利用的传播方式是捆绑传播。

当进入系统后，就通过内存注入和消息截获等方式获取用户的网络游戏账号。

网游外挂一直是盗号木马所热衷的捆绑对象，甚至有些外挂直接就是黑客精心编写出来的，目的是欺骗用户下载运行。

如果电脑上频繁报告发现此毒，用户可关闭系统自动还原功能，然后查杀一次即可。

由于u盘使用的广泛性，u盘病毒也渐渐流行起来了，目前u盘病毒已经是最为常见的计算机病毒之一。

防范病毒来保护我们的U盘安全成了我们所关注的话题，所以我们在日常使用中必须更加地注意防范哦。