2004/12/03 | 2004年典型木马及反木马软件综述
类别(技术) | 评论(0) | 阅读(143) | 发表于 21:49

  众所周知,木马(特洛伊木马)是一种基于远程控制的黑客工具。与病毒不同,木马并不会自我繁殖,也不会去感染其他文件,其主要目的是盗窃你的帐号密码,打开你的电脑端口、让黑客能控制你。2004年以来国内木马数量激增,病毒制造者更倾向于制造、传播木马病毒,国内出现了用木马进行盗窃的犯罪活动,例如利用木马盗窃你的网游帐号密码、网上银行的资金,给许多朋友带来了巨大的经济损失。OK,下面我们来分篇介绍最新的典型木马及反木马软件,希望能给你查杀木马带来帮助!

本文主要内容
典型木马篇
  • 一、网游类木马
  •   1、传奇男孩
      2、蜜蜂大盗
      3、剑侠幽灵
  • 二、广告类木马
  •   MSN小尾巴
  • 三、即时通讯类木马
  •   1、QQ 狩猎者
      2、记事本幽灵
  • 四、后门类木马
  •   1、灰鸽子
      2、黑洞
      3、安哥
  • 五、网银类木马
  •   网银大盗A
    反木马软件篇
  • 一、金山木马专杀工具
  •   金山木马专杀既是一个木马专杀工具,又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全。
  • 二、诺顿安全特警
  •   诺顿安全特警是塞门铁克公司推出了优秀的网络安全软件,能够查杀木马病毒、进行入侵检测,具备个人防火墙等功能
  • 三、木马克星
  •   木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。
  • 四、Anti-Trojan Shield
  •   Anti-Trojan Shield是一款享誉欧洲的专业木马侦测、拦截及清除软件,目前可以查杀9468种木马和病毒。
  • 五、TrojanHunter
  •   TrojanHunter是一款非常不错的防木马软件,可以在Win9X/NT/2000/XP系统中运行。
  • 六、The Cleaner Professional
  •   The Cleaner Professional 是MooSoft公司开发的查杀木马软件,可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。
  • 七、木马清除大师
  •   木马清除大师能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门,查杀率在95%以上。
    总结   随着不同类型的木马出现,给我们的网络带来了很大的隐患,从上面我们介绍的病毒我们就可以看出,现在木马已经突破传统的方式进行传播,并且越来越有针对性。
      相关专题简介:特洛伊木马是一种非常危险的恶性程序,它无休止的窃取用户的信息,从而给用户造成了巨大的损失。本期专题我们从特洛伊木马的原理、技术以及防御与清除方面给大家进行全方位的介绍,让大家了解特洛伊木马,同时提高对特洛伊木马的防范意识……

    >>>>>>详细内容<<<<<<

      典型木马篇

      目前木马病毒数量众多(已达到了五位数),而且新木马及其变种还在源源不断地涌现,如果根据木马针对的领域划分,我们可以把2004年常出现的木马分成五大类:即网游类木马、广告类木马、通讯类木马、后门类木马、网银类木马。从危害范围来看,网游木马危害最为严重,其次是广告木马也包含恶作剧程序,再次是即时通讯木马,接下来危害也比较大的是后门木马病毒,排在最后的是网银木马。

      一、网游类木马

      如今国内网络游戏玩家众多,网上虚拟装备交易火爆,于是大批针对网络游戏的木马病毒涌现。这些木马盗窃网游的账号、密码及游戏装备,发送给它的主人,供木马使用者出售获利。其中危害最大的有传奇男孩、剑侠幽灵、蜜蜂大盗。

      1、传奇男孩(Troj.MirBoy)

      传奇男孩是针对传奇游戏的木马病毒,专门偷取用户的传奇账户与密码,发送到黑客指定的邮箱中。如今针对传奇游戏的木马病毒很多,而且不断出现新变种。这类木马刚开始偷账号,现在已经发展到能阻止杀毒软件的运行,传奇男孩就是其中的典型代表。

      该病毒侵入用户电脑后,会将自身拷贝到系统目录,然后在注册表中修改键值,以便系统启动时自动加载;它还会终止系统中各类反病毒软件,如天网防火墙,ZoneAlarm等。

      2、蜜蜂大盗(Win32.Troj.MiFeng70)

      该木马为冰枫工作室制作,偷窃以下软件的密码:QQ、传奇、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ,并将密码发到指定信箱。木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"\%VIRUSNAME%";对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"\%VIRUSNAME%" "%1";在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG。

      木马运行后硬盘会狂运作,监听UDP2222端口,监视杀毒软件木马克星、瑞星。木马通过http://ip.loveroot.com/showip.php获得感染机器的IP信息,会到http://freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=检查是否被注册。

      3、剑侠幽灵(Troj.JXGhost.a)

      随着“剑侠情缘”网络版在网络中的广泛流行,针对该游戏的木马病毒也随之而生,剑侠幽灵就是这类木马中的代表。

      该木马在网络中通过各种途径传播,窃取剑网玩家的帐号与密码,造成用户的隐私泄漏及系统的不稳定。木马感染系统后,会监视系统中剑网客户端的运行,记录玩家的帐号及密码,并发送给指定的Email地址。

     二、广告类木马

      此类木马通常修改IE等网页浏览器的主页,收集系统信息发送给传播该木马的网站,其中更恶毒者会修改网页定向,导致一些正常的网站不能登录。

      三、即时通讯类木马

      此类木马利用即时通讯工具(比如:QQ、MSN)进行传播。中毒后,你的电脑会下载病毒作者指定的任意程序,其危害不可确定,可导致用户的经济损失,有的还会制造恶作剧,中毒者向联系人发送“我今天要结婚”的恶作剧消息。此类木马中危害最大的有QQ 狩猎者、记事本幽灵。

      1、QQ 狩猎者(Troj.QQmsg)

      该木马会偷取传奇等游戏的密码,发送到指定的信箱中,还可以关闭某些防毒软件和网镖等防火墙。中了该木马后,IE主页将被修改为http://nv520.com/htm;当你用QQ聊天时,会自动发送如下消息:http://nv520.com/jpg刘得华同性恋被偷拍........春节到了,祝你万事如意身体健康http://nv520.com/serch.htm。。。

      木马运行后,复制两份病毒体到%SystemRoot%中,文件名为"sendmess.exe";在%SystemRoot%目录中生成文件"qq32.ini",在%System%目录生成文件"qqmess.dll";释放另一个传奇木马到"%SystemRoot%intrenat.exe","%System%qqmewf.exe","%System%WinSocks.dll";在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值"QQ"="%SystemRoot%sendmess.exe","intrenat"="%SystemRoot%intrenat.exe";在注册表主键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services中添加键值"intrenat"="%SystemRoot%intrenat.exe";在注册表主键HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中添加键值"Start Page"="http://nv520.com/htm"

      2、记事本幽灵(Win32.Troj.Axela.w)

      该病毒通过QQ聊天软件,自动向用户的好友发送含有病毒网址的消息,病毒网页上有一个flash文件,一旦你打开该网页就会自动下载病毒程序。

      病毒会在用户的电脑上生成文件%Windir%\System\windll.dll,其内容是:"AllJapanesArePigs",当病毒再次被运行后,将修改IE默认主页项,只要你打开IE,病毒就连接到指定的网站,干扰用户的正常工作。另外,用户每次打开文本文件时,都会运行该病毒,其进程名字为Oteped.exe和Taskmgr.exe,病毒伪装任务管理器程序,迷惑用户。


     四、后门类木马

      此类木马采用了反弹端口技术,防火墙对它们也不起作用。因为你的电脑中毒后,会主动连接黑客电脑的80端口,防火墙会认为你在浏览网页,不会加以阻止,因此你的防火墙就形同虚设。这样你的系统就完全暴露在黑客手中,黑客可以对用户进行远程文件和注册表的操作,捕获被控制电脑的屏幕,远程重启和关闭计算机,禁用系统热键和注册表编辑器。此类木马中危害最大的有灰鸽子、黑洞、安哥。

      1、灰鸽子(Hack.Huigezi)

      手工清除方法:首先要禁止它开机自动运行,点开始/运行,输入msconfig点确定,在系统配置实用程序中选“启动项”,然后把SVCHOST前面的勾去掉,点确定后退出;接下来在运行中输regedit 进入注册表,查找SVCHOST(注意是大写的),删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg,关机重启;最后运行TcpView,检查你的8225端口是否开着。

      2、黑洞(Backdoor/BlackHole.2004)

      黑洞病毒于2004年8月被截获,它可以窃取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等;可记录用户电脑的一切键盘输入,包括中英文输入,直接威胁用户的隐私安全。

      黑洞可按反弹端口方式进行连接,这样病毒能穿透一般防火墙、渗透到内部网络;它还自带IP数据库,当黑客与被感染机器建立连接后,即能看到用户所在的实际地理位置,使得黑客在挑选攻击对象时,能有所选择。类似国产冰河、灰鸽子等黑客控制软件,黑洞可以让黑客监控染毒的电脑,远程开启用户USB摄像头,并将其偷拍数据转换为Mpeg文件传给黑客观看,远程查看或关闭用户所有进程,非法观看远程桌面、远程重启关机,以及所有资源/文件,并可以控制上传下载。与“蜜蜂大盗”相比,该病毒功能更强,增加了通过麦克风,远程捕获用户声音的能力。

      该病毒运行后,将在感染的电脑上创建文件%WinDir%\server.exe(207982字节);在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加启动项:"111" = %WinDir%\server.exe这样系统启动时,病毒即自动执行。它可以用dll方式注入到任意进程(包括explorer.exe,IE浏览器,notepad.exe 等系统进程)中,具有更强的隐蔽性,而且病毒名、大小、隐藏路径都是不定的,这就给用户发现和查杀病毒带来困难。

      3、安哥(Hack.Agobot3.aw)

      该病毒兼具黑客和蠕虫的功能,利用IRC软件开启后门,等待黑客控制。它试图偷取被感染电脑内的正版软件序列号等重要信息,可造成计算机不稳定,出现计算机运行速度和网络传输速度极剧下降,复制、粘贴等系统功能不可用,OFFICE和IE浏览器软件异常等现象。

      该病毒运行后,将自身复制为%System%\scvhost.exe,在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值 "servicehost"="Scvhost.exe",在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicces中添加键值"servicehost"="Scvhost.exe"该病毒会中止许多知名反病毒软件和网络安全软件,利用RPC DCOM漏洞和WebDAV漏洞在网络中高速传播;使用内部包含的超大型“Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码表”猜口令的方式,重点攻击局域网中的计算机,感染整个局域网,造成网络瘫痪。

      防范对策:升级金山毒霸到最新的病毒库,或下载“安哥”专杀工具(下载地址 http://www.duba.net/download/3/100.shtml);为系统打上MS03-026 RPC DCOM漏洞补丁(823980,下载地址http://support.microsoft.com/default.aspx?kbid=823980) 和MS03-007 WebDAV漏洞补丁(815021,下载地址http://support.microsoft.com/default.aspx?kbid=815021),并为系统管理员帐号设置一个更为强壮的密码。

      手工清除方法:WinXP用户右击“我的电脑”,选“属性”/系统还原,首先关闭系统还原功能;然后按Ctrl+Alt+Del调出任务管理器,单击“进程”打开进程管理器,找到名为scvhost.exe的进程,并将其结束;打开注册表,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,在右边的面板中, 找到并删除如下项目:"Enabledcom" = "irun4.exe";进入系统目录(\Winnt\System32或\Windows\System32),找到文件“irun4.exe”将它删除,注意清空回收站内的内容。

     五、网银类木马

      此类木马专门攻击网上银行,采用记录键盘和系统动作的方法,盗取网银的帐号和密码,并发送到作者指定的邮箱,直接导致用户的经济损失。目前国内针对网上银行的犯罪已经开始出现,例如今年某大学生利用网上银行盗取60多万人民币,几名中专生利用“网银大盗”木马盗窃网上银行用户资金,他们都是利用网银木马进行盗窃的。

      网银大盗A(Troj.KeyLog.a)

      今年4月江民公司截获了一个名为“网银大盗”的木马病毒,专门攻击中国工商银行的网上银行用户(使用数字IP地址登录的用户),盗取用户的账号和密码。

      网银大盗运行后会设置与IE的关联,只要你一打开IE,病毒即开始工作。病毒每隔0.5秒搜索用户的浏览器窗口,如果发现你正在工行网上银行的登录界面,就会自动转到数字IP地址页面,然后记录用户键入的帐号和密码,通过电子邮件发给病毒作者。

      工行之前为方便客户使用网上银行,曾提供了一种无安全认证的登陆页面(即数字IP地址页面)。该页面仅核对帐号和密码,不检查用户的数字证书,因此只要窃取了帐号和密码,即可从此处侵入网上银行。目前工行已经堵住了这个漏洞、取消了该登录页面,要求所有的网银用户都必须到工行网站下载数字证书,否则将不能登陆网上银行。

      6月2日,江民公司又截获“网银大盗”新变种──网银大盗Ⅱ(Troj_Dingxa.A),与网银大盗只针对工行不同,新病毒可窃取中国绝大部分主流银行的网上银行帐号、密码、验证码等,其涉猎范围之广,在国内尚属首例。病毒运行时检查IE窗口标题栏,一旦发现当前IE窗口为银行的登录页面,即开始记录键盘输入的所有键值,然后发送给病毒作者。

      2、防范对策

      (2)、升级杀毒软件

      安装带有隐私信息保护的杀毒软件(例如KV2004、金山毒霸等),并升级到最新的病毒库,开启病毒实时监控系统,启动隐私信息保护监视功能。

      (3)、使用密码防盗工具

      安装使用密码防盗的工具,例如“噬菌体防盗专家”、眼睛专杀工具等。“噬菌体防盗专家”可以对内存中的代码进行动态伪装,使对方截获的“猎物”只是一团无法识别的乱码,从而保护你输入的密码。另外,当木马要把窃取的密码向外发送时,它也可以进行拦截,并反馈用于接收密码的对方邮件账号。

     反木马软件篇

      机器中一旦有木马入侵,如果你想手工删除木马,难度还是很大的,这要求你对木马特别了解,而且要找到木马文件删除之,还要修改注册表中相关项。其实你可以使用专门的反木马软件,这是查杀木马最简单的方法。目前反木马软件数量众多,著名的有金山毒霸木马专杀、诺顿安全特警、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。

      一、金山毒霸木马专杀工具

      软件版本:2004.9.27.2
      软件大小:9.06 MB

      金山木马专杀既是一个木马专杀工具(可以查杀2万多种木马),又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。

      升级木马病毒库

      在查杀木马前,你应该先升级木马专杀的病毒库,以免病毒库版本低发现不了新木马,升级方法:从毒霸程序组中启动“金山毒霸木马专杀”,连上网,在打开的窗口中(如图1),单击“在线升级”按钮,打开升级向导窗口,然后按照向导提示,逐步完成木马病毒库的更新。



    图 1

      二、诺顿安全特警

      软件版本:诺顿安全特警2004中文版
      软件大小:77,483KB

      诺顿安全特警(NIS2004)是塞门铁克公司推出了优秀的网络安全软件,能够查杀木马病毒、进行入侵检测,具备个人防火墙等功能;软件新增加的反垃圾邮件功能非常实用,多网络环境支持、Web助手等新功能也很贴心。在网络木马和病毒越来越多的今天,有必要请一个“特警”回来护驾,不过,它体积大、资源占用过多。

      1、查杀威胁性程序

      在“Norton AntiVirus选项”中,你可以打钩、设置要扫描哪些威胁(如图2),建议全选上。除了能够对付一般病毒,NIS2004的防病毒组件加强了针对间谍软件、广告软件等非病毒性威胁性程序的查杀能力。在默认情况下,它可以扫描木马、病毒、蠕虫,查杀间谍软件和广告软件,扫描远程访问、黑客工具、玩笑程序、拨号程序。



    图 2

      注意:在查杀木马前,你应该单击“LiveUpdate”升级软件的病毒库,以免病毒库版本低而不能发现新木马。

      2、隐私控制

      除了能查杀木马之外,NIS2004还具有“隐私控制”功能,可以防止你的帐号密码被盗。只要你将所有的帐号、密码,添加到诺顿安全特警 的保护列表中,以后即使你不小心中了木马,也不用担心重要信息被木马窃取,设置方法是:

      双击任务栏处的Norton Internet Security图标,在“状态及设置”中,点击“隐私控制”,然后点击右边的“打开”按钮,使隐私控制功能生效;点击“配置”按钮,在打开的隐私控制配置窗口中,点击“个人信息”,打开个人信息配置窗口,点击“添加”按钮,在打开的窗口中输入要保护的信息,例如游戏账号或密码,于是当你使用“Web”、“即时信息”和“电子邮件”程序时,诺顿安全特警会保护你输入的信息。

      经过以上设置之后,只要你在任何一个网页、邮件或是即时消息中,输入与保护信息相关的内容,诺顿就会自动将它全部转换成“*”。即使木马将你的密码信息,通过邮件或其它手段发给它的“主人”时,对方看到的也只是“*”,这样一来确保了密码的安全。

      三、木马克星(Iparmor)

      软件版本:5.46
      软件大小:3709KB

      木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7MB),可以用闪存随身携带,方便你在网吧电脑中安装使用。

      1、更新病毒库

      木马克星的安装非常简单,只要单击下载文件即可安装。由于网上病毒和木马出现很快,在清除木马前,你应该更新它的病毒库,建议大家每隔5天就更新一次病毒库。单击主窗口中的“更新病毒库”图标,然后单击“开始”按钮即可开始更新。不过,非注册用户无权更新软件的病毒库。

      2、查杀木马

      软件在启动后首先会扫描内存,直观地显示当前内存中有没有木马。如果有木马正在内存中运行,你可以点击主窗口中的“扫描内存”按钮,杀掉内存中的木马;假如你想清除硬盘上的木马,则可以单击“扫描硬盘”按钮(如图3)。建议你选择“扫描所有磁盘”和“清除木马”两个选项,然后再单击“扫描”按钮来扫描系统,这样就可以对整个硬盘进行扫描了。



    图3

      3、木马防火墙

      木马克星中内置了木马防火墙,任何黑客试图与本机可疑端口建立连接,都需要IPArmor确认。你可以使用木马防火墙对蠕虫和端口进行监视,方法是:在左边窗口中单击“设置”,弹出设置画面,然后单击“防火墙”,勾选“使用网络防火墙”(如图4)。



    图 4

      你应该勾选“监视邮件”、“打开密码保护”、“监视网络信息”,这样所有的密码都被伪装成iparmor,木马克星使用了邮件监视技术,包含密码的邮件必须经过IPArmor确认才能发送,一旦发现密码盗窃,木马克星就会自动向你报警;一旦你收到带有蠕虫的Email时,它就会报警;如果有黑客试图与你建立连接,它也会报警。

      4、其他功能

      另外,木马克星还可以让你轻松地监视系统中当前运行的各个进程、网络状态、系统共享情况等,防止木马的入侵。

      单击“系统进程”,你可以查看系统中有哪些进程在运行,用鼠标左键点取后,再用键盘上的“Delete”键即可删除进程;而“网络状态”里,则可以看到目前的网络情况,如果tcp协议的linsten在1025端口以上,则可能是木马,大家就要警惕了;在“查看共享”里我们可以看到硬盘是否在网络中公开;而在“启动项目”里则可以看到有哪些程序随Windows一起运行。


      四、Anti-Trojan Shield

      软件版本:1.4.15
      软件大小:4451KB

      Anti-Trojan Shield是一款享誉欧洲的专业木马侦测、拦截及清除软件,目前可以查杀9468种木马和病毒,其特点是界面简捷,虽是英文但只要你会用杀毒软件,就能很容易操作该软件。

      1、在线升级

      用该软件查杀木马前,你应该先升级软件的病毒库。升级Anti-Trojan Shield的病毒库和程序非常简单,在线升级时,单击“Update online”按钮,选中“Database”和“EXE files”选项(如图5),即可同时升级程序文件和病毒库。因为服务器在国外,所以速度比较慢,升级后需要退出重启软件,才能生效。



    图 5

      如果你在软件主界面中,单击菜单“View/virus list”,就会在“Report”下显示一个列表,列出了所有能查杀的木马病毒。

      2、查杀木马

      单击“Scan”标签,在窗口中选择要扫描的盘符或文件夹(如图6),查杀其中的木马。如果一次要扫描多个不同的文件夹,可以通过“Add”按钮添加到待扫描窗口中,勾选上要扫描的项,单击“Start”按钮就开始扫描了。每次扫描时,软件都会先在内存中进行查找,并搜索Win.ini和System.ini文件中是否有可疑键值。不过未注册前,只能查杀单个文件夹,无法扫描子目录。



    图 6

      扫描的结果会在“Report”标签中显示出来(如图7),如果扫描时发现了木马,程序便会报警,并且在窗口中不停闪烁“INFECTED”,然后在下面列表框中即可看到被感染的文件和木马的类型。你可以选中它按“Delete”按钮删除木马,或者按“Quarautine”隔离木马;如果你想了解详细信息,可以点击“Info”按钮,于是软件连上一个网站,你需要登录网站才能查看该木马的详细信息,建议你先清除再去了解木马的详情。



    图 7

      3、设置扫描项目

      为了扫描ZIP、RAR、ARJ和CAB 等压缩包,检查其中是否有木马,我们可以单击“Setup”标签,然后在弹出的窗口中(如图8),勾选“Scan archives”选项。如果你选择了“Min[high speed]”项,则只扫描可执行文件,建议你选择“Max [low speed]”对所有文件都进行扫描。如果你勾选了“Program code analysis”,即可对程序进行代码分析、查杀未知的木马,这类似于反病毒软件中的“启发式查毒”,但是扫描速度会减慢。



    图 8


     五、TrojanHunter

      软件版本:3.9
      软件大小:6942KB

      TrojanHunter是一款非常不错的防木马软件,可以在Win9X/NT/2000/XP系统中运行。

      1、软件设置

      软件启动后会出现软件主界面,点击“Options”标签,在弹出的窗口中(如图9),你可以设置要扫描哪种类型的文件,例如扫描压缩文件、二进制执行文件等,检查这类文件中是否藏有木马;如果你点击“Trojans”标签,将列出该软件能够查杀的木马,该软件查杀库中已经包括了目前比较流行的木马,而且还可以自动升级,方便我们扫描新木马。



    图 9

      2、扫描木马

      点击“Scan”标签会出现一个窗口(如图10),你可以在其中选择要扫描的硬盘盘符,然后点击“Full_scan”命令,即可对刚才所选择的目标进行扫描,一旦发现木马,就会在下面的框中显示出来。



    图 10

      3、删除木马

      通过以上检查之后,要删除发现的木马也比较简单,你可以根据显示的木马文件位置,将机器运行到安全模式或MS-DOS方式下,然后将木马文件删除,或者是启动杀毒软件将其删除。

     六、The Cleaner Professional

      软件版本:4.1
      软件大小:4519KB



    图11

      2、扫描系统

      在软件主界面中单击“Scan system”,会出现一个画面(如图12),然后查杀电脑中是否有木马等病毒,如果发现木马则显示在下面的列表中,默认情况下,软件会隔离已发现的木马。



    图 12

      3、参数设置

      在软件主界面中,单击“Options”可以进行参数设置(如图13)。你可以点击“Scanning”选项卡,勾选“Scan inside archive……”让软件扫描压缩包中是否有木马;勾选“Scan for hidden executables”让软件扫描隐藏的执行文件。点击“Cleanning”选项卡,设置发现木马后如何处理,例如删除、隔离、询问等。



    图13

      七、木马清除大师正式版

      软件版本:2.15
      软件大小:4634KB

      2、扫描内存

      在软件主界面,你可以点击“扫描内存”选项,然后在弹出的窗口中(如图14)点击“开始扫描”按钮,软件即会查杀内存中的木马,BeatTrojan将根据当前系统的活动进程、注册表项,查找并删除系统中运行的木马。



    图14

      如果软件发现了木马,则会弹出一个对话框,询问你是否要查杀木马,建议你直接点击“清除”删除木马;如果发现了无进程木马、并且你设置了稳定查杀选项,则会弹出一个对话框,询问你是否结束其宿主进程,建议你选择“是”,保存工作后点“继续”即可。

      扫描内存完成后,你可以单击“扫描硬盘”,扫描硬盘上的所有分区,查杀其中的木马。

      3、软件设置

      如果你想修改默认的扫描设置,可以在软件主界面点击“软件设置”,在弹出的画面中(如上图15)进行设置。“文件扫描设置”可让你设置扫描哪类文件,文件扫描的规则;在“内存扫描设置”中,你可以设置内存扫描规则、发现无进程木马时的处理办法等;在“其他设置”中,你可以设置发现木马后如何处理,是否报警等。



    图15

      注:本文中所需软件请到www.mydown.com下载,如果没有相关软件下载请用GOOGLE搜索下载地址。

      总结

      随着不同类型的木马出现,给我们的网络带来了很大的隐患,从上面我们介绍的病毒我们就可以看出,现在木马已经突破传统的方式进行传播,并且越来越有针对性。如果查杀他的同时,一定要注重防范,不能因为一时的诱惑而让自己承受更具大的损失。

    0

    评论Comments

    日志分类
    首页[1019]
    技术[317]
    English[3]
    下载[59]
    IT业界[203]
    发现[47]
    音乐[17]
    网文[322]
    blog应用[36]
    BLOG参考[15]