黑客24小时在线接单网站

现在的病毒和木马，有什么区别？

一 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

二 计算机病毒的特点计算机病毒是人为的特制程序，具有自我复制能力，很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。

三 病毒存在的必然性计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，而当病毒取得控制权之后，他们会主动寻找感染目标，使自身广为流传。

四 计算机病毒的长期性病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。

五 计算机病毒的产生病毒不是来源于突发或偶然的原因．一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。病毒是人为的特制程序现在流行的病毒是由人为故意编写的，多数病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒．

六 计算机病毒分类根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：

按照计算机病毒存在的媒体进行分类根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

按照计算机病毒破坏的能力进行分类根据病毒破坏的能力可划分为以下几种：无害型除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型这类病毒在计算机系统操作中造成严重的错误。非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

按照计算机病毒特有的算法进行分类根据病毒特有的算法，病毒可以划分为：伴随型病毒这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪。

现在有什么类型的木马病毒

网游木马

随着网络在线游戏的普及和升温，中国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取

用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

网银木马

网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。

木马病毒

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。2013年，安全软件电脑管家截获网银木马最新变种“弼马温”，弼马温病毒能够毫无痕迹的修改支付界面，使用户根本无法察觉。通过不良网站提供假QVOD下载地址进行广泛传播，当用户下载这一挂马播放器文件安装后就会中木马，该病毒运行后即开始监视用户网络交易，屏蔽余额支付和快捷支付，强制用户使用网银，并借机篡改订单，盗取财产。

随着中国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。

下载类

这种木马程序的体积一般很小，其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小，下载类木马更容易传播，传播速度也更快。通常功能强大、体积也很大的后门类病毒，如“灰鸽子”、“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户中毒后会把后门主程序下载到本机运行。

代理类

用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

FTP木马

FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口)，使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

木马病毒现在还多吗？

还是很多，而且越来越隐蔽，建议在电脑上安装360安全卫士，它里面的木马查杀工具很不错

木马病毒有什么危害？

现在的木马病毒基本上都是黑客制作的，他们的目的就是攻击你的系统，最终窃取你电脑内的信息，使你的电脑系统瘫痪。这些黑客可以售卖这些信息，或者利用这些信息对你的资金进行转移，总之危害非常大。

为了保护电脑的安全，和咱们信息财产的安全，使用电脑一定要安装安全软件，不然就相当于在网络世界中不穿衣服裸奔了。像我的电脑里安装的是腾讯电脑管家，我设置的开机自启动，上网时如果我不小心点击到有毒的链接有风险它就会弹出警告，很贴心的~定时我会再用它对电脑进行深度的扫描，确保电脑是安全无毒的，用着才放心嘛~

它最近才推出了最新版，腾讯电脑管家星星版，画面比以前好看多了，操作也流畅了不少。引擎整体升级了，连带着兼容性也上去了。如果你想试试的话，不论你是什么系统，都可以安装的哦。

现在最厉害的木马病毒是什么?

并没有最厉害的病毒，或许原本的病毒并不可怕，但如果拿到病毒的一些人稍加改进的话，就会变成病毒变异体，这就是杀毒最难的地方了。

计算机病毒防范服务中心发出病毒警报，本周一种危害性很高的病毒“洪水猛兽”可能爆发，该病毒不但能损坏用户的计算机系统，还能进一步造成局域网瘫痪。较之前段时间导致成千上万企业受损的“熊猫烧香”病毒，“洪水猛兽”的危害度有过之而无不及。

“洪水猛兽”也是一种木马病毒，但它会自动接收木马种植者的命令来攻击指定的IP地址，从而造成用户网络及所在局域网整体瘫痪。同时它还会从网上疯狂下载并安装广告软件，导致用户计算机运行不稳定甚至蓝屏。

据专家介绍，该病毒运行后会释放wc1.exe和wc2.exe等多个病毒文件，并会连接到指定的恶意端口，使用户计算机受到TCP

Foold或UDP

Foold的攻击，造成网络瘫痪。wc1.exe

是一个广告下载器，它会修改和添加注册表，实现自启动及防止Google等工具条的拦截，并关闭杀毒软件的监控窗口，从而逃避杀毒软件的监控和查杀。

专家建议，计算机用户千万不要打开不明来历的可执行文件，更不要随意下载。此外要及时升级杀毒软件，并在上网时注意开启病毒监控程序。

怎样彻底清除木马病毒？

　一、使用正确的杀毒方法

1、在安全模式或纯DOS模式下清除病毒

当计算机感染病毒的时候，很多人都会图方便，在正常模式下清除病毒，但这种方法往往是不能干净清除病毒的。

这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正常模式的Windows和正常模式的Windows下的"MS-DOS方式"或"命令提示符"。

在正常模式下，由于带毒的文件正在运行，是无法对这些文件直接进行操作的。从现今的反病毒技术和病毒来看，绝大部分病毒都不可能在正常模式下简单的就可以彻底清除了的。很多一些朋友误以为只要装上反病毒软件，软件可以彻底清除计算机上的病毒，当病毒无法彻底清除的时候就认为软件不好，这是很错误的！

建议在查杀病毒的时候，要在安全模式（Safe Mode）或者纯DOS下进行清除。对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下清除，不必要像以前那样必须要用软盘启动杀毒；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒库），在安全模式（Safe Mode）或者纯DOS下清除一遍病毒了！

2、不要使用网页在线杀毒

我想这也是很多朋友使用的杀毒方法，其实这种方法也是和上述的一样，同样无法彻底清除病毒，同时，由于利用了IE的特殊功能，会带来更多的安全隐患，而且一般反病毒厂商也不会提供全面的病毒库文件，所以这种方法充其量只能查出计算机上是否感染流行的病毒，而不能实际的进行清除病毒。而且，换个角度来看，如果这样就能干净清除病毒的话，那么厂商就没必要销售反病毒软件了。^o^

二、带毒文件存在于特定的目录或文件中的清除方法

这里所说的是由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。

1、带毒文件在Temporary Internet Files目录下

由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中的"工具""Internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。

2、带毒文件在\_Restore目录下，*.cpy文件中

这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系统上才会有这个目录，由于系统对这个目录有保护作用。

对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。

3、带毒文件在.rar、.zip、.cab等压缩文件中

现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。

要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中

这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。

对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：

(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME系统上通过"添加／删除程序"进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；

(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：

A:fdisk/mbr

A:sys a: c:

如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。

5、带毒文件的后缀名是.vir、.kav、.kbk等

这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般情况下，如果确认这些文件已经无用了，那就将这些文件删除即可。

6、带毒文件在一些邮件文件中，如dbx、eml、box等

有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往不能对这些带毒的文件直接的进行操作，对于一些邮箱中的带毒的信件，可以根据防毒软件提供的信息找到那带毒的信件，删除信件中的附件或者删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮件软件打开，确认该信件及其附件，然后删除相关内容。一般有大量的eml、nws的带毒文件的话，都是病毒自动生成的文件，建议都直接删除。

7、文件中有病毒的残留代码

这种情况比较多见的就是带有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如W32/FunLove.app、W32.Funlove.int。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。

8、文件错误

这种情况出现的并不多，通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒，也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以直接删除。

9、加密的文件或目录

对于一些加密了的文件或目录，请在解密后再进行病毒查杀。

10、共享目录

这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。

遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。

对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。

特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。

11、光盘等一些存储介质

对于光盘上带有的病毒，不要试图直接清除，这是神仙也做不到的事情。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。

目前危害比较大的木马病毒有哪些？

NRD系列网游窃贼

类型：盗号木马

危害：通过各种木马下载器进入用户电脑，利用键盘钩子等技术盗取地下城与勇士、魔兽世界、传奇世界等多款热门网游的账号和密码信息，还能够对受害用户的电脑屏幕截图、窃取用户存储在电脑上的图片文档和文本文档，以此破解游戏密保卡，并在后台将这些敏感信息发送到指定的服务器或邮箱中。

360安全卫士全年累计查杀量：152509102

二、“犇牛”下载器

类型：木马下载器

危害：牛年新春佳节爆发的“犇牛”堪称全年危害最大的恶意软件，它在全局劫持dll文件、感染多种类型压缩文件的基础上，综合了“熊猫烧香”在网页文件插入“网马”、局域网ARP攻击等传播手段，此外还有“磁碟机”式自动更新、“AV终结者”式强制关闭面板控件、“机器狗”式穿透还原卡的驱动技术、U盘木马的伪装和传播手段，并下载数十款盗号木马和广告程序进入受害用户电脑，堪称牛年破坏力最强、最邪恶的木马。

360安全卫士全年累计查杀量：119995842

三、IE首页劫匪

类型：广告木马

危害：具有流氓性质的IE首页劫匪在2009年格外活跃，这类广告木马的数量、感染用户规模甚至已经迫近网游盗号木马，它们的行为也具备高度的一致性，就是强制修改IE浏览器的首页为指定的网站，并在电脑桌面上生成恶意的浏览器快捷方式。IE首页劫匪的传播方式也五花八门，有的通过木马下载器侵入网民电脑，有的和不良网站提供的软件、视频等资源捆绑在一起，甚至还和大型游戏的安装文件捆绑，通过BT下载进行传播。

360安全卫士全年累计查杀量：100160913

四、文件夹模仿者

类型：U盘木马

危害：这是一类通过U盘等移动存储介质传播的木马程序，通常是由木马下载器创建的用于传播木马的功能组件，在打印店等频繁使用U盘的场所特别常见，受感染的学生用户群体也格外多。文件夹模仿者会将自己伪装成U盘中的文件夹，并把正常的文件夹设置为“隐藏”，从而欺骗用户点击，这样的话，即使用户禁止了U盘自动播放，文件夹模仿者仍然能运行起来，并且把它的母体木马下载器感染到电脑的其他磁盘中。

360安全卫士全年累计查杀量：77719535

五、魔兽密保克星

类型：盗号木马

危害：这类盗号木马将自己伪装为游戏的运行程序，针对热门网游《魔兽世界》，魔兽密保克星会把真正的wow.exe改名后设置为隐藏文件，木马却堂而皇之的以wow.exe的名称摆在玩家面前。如果玩家不加注意运行了木马，即使账号绑定了密码保护卡，游戏角色仍然会被盗取。

360安全卫士全年累计查杀量：73583440次

六、Gh0st肉鸡程序

类型：远程控制木马

危害：在2009年，Gh0st取代灰鸽子成为“肉鸡”控制最主流的黑客工具。由于该木马已经开源，各种修改版和变种更是层出不穷。和灰鸽子类似，Gh0st同样能监视受害用户的电脑屏幕、记录键盘操作、随意查看和盗取中招用户的资料,甚至自动开启用户电脑上的摄像头进行偷拍。

360安全卫士全年累计查杀量：52150554次

七、“母马”下载器

类型：木马下载器

危害：2009年1月出现的“母马”下载器采取“机器狗”式的穿透还原技术，感染系统文件实现自启动，可以穿透冰点、影子等系统还原软件，并具备更强的自我更新和变异能力：即便运行同一个“母马”样本，它所感染的系统文件都会出现不同的变化，感染方式和特征也随之变化。更特别的是，“母马”善于自动繁殖数千个子木马，将主进程文件藏身在其中，以此逃避安全软件的追杀，进而下载大量盗号木马及风险程序。

360安全卫士全年累计查杀量：24550339

八、QQ消息木马插件

类型：诈骗程序

危害：这类诈骗程序高发于2009年前半年，通常借挂马、木马下载器等方式侵入网民电脑。它会把桌面右下角真正的QQ图标隐藏起来，再将自己伪造为不断闪烁提示的QQ消息，当受害用户点开消息后便弹窗推广中奖消息类的钓鱼网站，从而以保证金、手续费等名义诈骗受害用户钱财。

360安全卫士全年累计查杀量：20287859

九、“山寨熊猫”下载器

类型：木马下载器

危害：“山寨熊猫”从行为特征上最接近于当年肆虐一时的“熊猫烧香”，它会全盘感染exe类型可执行文件，对受害用户的电脑系统杀伤力极强，一旦运行起来就会占用大量CPU资源，甚至有可能导致电脑系统瘫痪死机。一些杀毒厂商也将“山寨熊猫”命名为“宝马下载器”。

360安全卫士全年累计查杀量：18201728

十、“执照凶手”下载器

类型：木马下载器

危害：2009年底危害最大的木马。它首次采用了真实的数字签名实现“免杀”，能突破几乎所有杀毒软件的防护，同时通过感染QQ和迅雷等常用软件实现强行二次启动，因而具备空前的“免杀”能力和超强的隐蔽生存能力。单纯以查杀量计算，“执照凶手”并不能进入年度十大木马排行榜，但木马用上真实有效的数字签名，无疑是为安全行业敲响了警钟，甚至比犇牛、母马等顽固木马更值得人们警惕。

360安全卫士全年累计查杀量：1375166

现在流行什么木马病毒

机器狗病毒

外观和熊猫烧香差不多，图标显示是个机器狗

可以穿所有还原软硬件系统,双进程保护,磁盘根目录加载自运行,盗取帐号密码重要文件信息,自下载网络的恶意东西,会自弹很多广告窗口网页等...

威害全国大部分的网吧!