⑴ 木馬文件是什麼
木馬,全稱為:特洛伊木馬(Trojan Horse)。 「特洛伊木馬」這一詞最早出先在希臘神話傳說中。相傳在3000年前,在一次希臘戰爭中。麥尼勞斯(人名)派兵討伐特洛伊(王國),但久攻不下。他們想出了一個主意:首先他們假裝被打敗,然後留下一個木馬。而木馬裡面卻藏著最強悍的勇士!最後等時間一到,木馬里的勇士全部沖出來把敵人打敗了! 這就是後來有名的「木馬計」。—— 把預謀的功能隱藏在公開的功能里,掩飾真正的企圖。 至於黑客程序里的特洛伊木馬和故事裡的特洛伊木馬差不多。 黑客程序里的特洛伊木馬有以下的特點: (1)主程序有兩個,一個是服務端,另一個是控制端。 (2)服務端需要在主機執行。 (3)一般特洛伊木馬程序都是隱蔽的進程。 (4)當控制端連接服務端主機後,控制端會向服務端主機發出命令。而服務端主機在接受命令後,會執行相應的任務。 (5)每個系統都存在特洛伊木馬。(包括Windows,Unix,liunx等) 在許多人眼中,特洛伊木馬是一種病毒。其實特洛伊木馬並不是一種病毒,它沒有完全具備病毒的性質。(包括:轉播,感染文件等。) 特洛伊木馬程序的發展歷史: 第一代木馬:控制端 —— 連接 —— 服務端 特點:屬於被動型木馬。能上傳,下載,修改注冊表,得到內存密碼等。 典型木馬:冰河,NetSpy,back orifice(簡稱:BO)等。 第二代木馬:服務端 —— 連接 —— 控制端 特點:屬於主動型木馬。隱蔽性更強,有利用ICMP協議隱藏埠的,有利用DLL(動態連接庫)隱藏進程的,甚至出現能傳播的木馬。 典型木馬:網路神偷,廣外女生等。(反彈埠型木馬) 參考資料: http://www.54master.com/bbs/cgi-bin/topic.cgi?forum=3&topic=6548木馬起源於古代希臘 特洛伊戰爭 有了計算機以後逐漸出現病毒然後衍生出來木馬程序
⑵ 一般什麼擴展名的文件容易是病毒或者木馬
一般都是以下四種,下面我分別加以介紹並簡要說明以下清除的方法:
一、EXE後綴型病毒文件
這類病毒一般是以進程的方式運行,這類病毒一般是比較好被發現的。下邊先說下這類病毒,是在哪裡啟動的。
1.注冊表
如果發現計算機有不名的進程和異常情況請在注冊表內下列地方進行核實找住可以的程序進行刪除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/<br>Explorer/ShellFolders
Startup="C:/windows/start menu/programs/startup
2.系統WIN.INI文件內
在win.ini文件中,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動件。也許你會問了我是XP系統啊 怎麼沒有這個呢?不必擔心給你個正確的你參考下就知道有沒有可疑程序了。下邊就是正常的WIN.INI(XP):
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
3.SYSTEM.INI文件中
在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。又會有人問了,我是XP系統怎麼又不一樣呢?給你個正常的XP系統的SYSTEM.INI,請大家可以參考下正常的SYSTEM.INI文件:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
4.在Config.sys內
這類載入方式比較少見,但是並不是沒有。如果上述方法都找不到的話,請來這里也許會有收獲的。
5.在Autuexec.bat內
這類載入方式也是比較少見,建議跟Config.sys方法一樣。
4和5的載入方式建議大家先必須確定計算機有病毒,並且上邊的方法都找不到後,最後來這里進行查找。
總結:這類病毒是比較容易暴露的,建議手動刪除時最好進入安全模式下,因為安全模式只運行WINDOWS必備的系統進程,EXE型病毒很容易暴露出來的,下邊附上一張WINDOWS安全模式的必須進程表:
smss.exe Session Manager
csrss.exe 子系統伺服器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務) 產生
會話密鑰以及授予用於互動式客戶/伺服器驗證的服務憑據(ticket)。(系統服務) ->netlogon
svchost.exe 包含很多系統服務 !!!->eventsystem,(SPOOLSV.EXE 將文件載入到內存中以便遲後打
印。)
explorer.exe 資源管理器 (internat.exe 托盤區的拼音圖標)
system
System Idle Process 這個進程是不可以從任務管理器中關掉的。這個進程是作為單線程運行在每個處
理器上,並在系統不處理其他線程的時候分派處理器時間
taskmagr.exe 就是任務管理器了
二、DLL型後綴病毒
這類病毒大多是後門病毒,這類病毒一般不會把自己暴露在進程中的,所以說特別隱蔽,比較不好發現。啟動DLL後門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那DLL後門如何啟動呢?因此,一個好的DLL後門會盡力保護自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL後門而專門編寫的一個EXE文件;也可以是系統自帶的Rundll32.exe和Svchost.exe,即使停止了Rundll32.exe和Svchost.exeDLL後門的主體還是存在的。現在大家也許對DLL有了個初步的了解了,但是不是後綴是DLL就是病毒哦,也不要因為系統有過多的Rundll32.exe和Svchost.exe進程而擔心,因為他們不一定就是病毒,所以說這個病毒比較隱蔽,下邊來介紹幾種判別辦法
1.Svchost.exe的鍵值是在「HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current
Version\Svchost」每個鍵值表示一個獨立的Svchost.exe組。微軟還為我們提供了一種察看系統正在運行在Svchost.exe列表中的服務的方法。以Windows XP為例:在「運行」中輸入:cmd,然後在命令行模式中輸入:tasklist /svc。如果使用的是Windows 2000系統則把前面的「tasklist /svc」命令替換為:「tlist -s」即可。如果你懷疑計算機有可能被病毒感染,Svchost.exe的服務出現異常的話通過搜索 Svchost.exe文件就可以發現異常情況。一般只會找到一個在:「C:\Windows\System32」目錄下的Svchost.exe程序。如果你在其他目錄下發現Svchost.exe程序的話,那很可能就是中毒了。
2.還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由於在Windows系統自帶的任務管理器不能察看進程路徑,所以要使用第三方的進程察看工具。比如Windows優化大師中的Windows 進程管理 2.5。這樣,可以發現進程到底調用了什麼DLL文件.
3.普通後門連接需要打開特定的埠,DLL後門也不例外,不管它怎麼隱藏,連接的時候都需要打開埠。我們可以用netstat –an來查看所有TCP/UDP埠的連接,以發現非法連接。大家平時要對自己打開的埠心中有數,並對netstat –an中的state屬性有所了解。當然,也可以使用Fport來顯示埠對應的進程,這樣,系統有什麼不明的連接和埠,都可以盡收眼底。
4.最關鍵的方法,對比法。安裝好系統和所有的應用程序之後,備份system32目錄下的EXE和DLL文件:打開CMD,來到WINNTsystem32目錄下,執行:dir *.exe>exe.txt & dir *.dll>dll.txt,這樣,就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日後,如發現異常,可以使用相同的命令再次備份EXE和DLL文件(這里我們假設是exe0.txt和dll0.txt),並使用:
fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt
其意思為使用FC命令比較兩次的EXE文件和DLL文件,並將比較結果保存到exedll.txt文件中。通過這種方法,我們就可以發現多出來的EXE和DLL文件,並通過文件大小,創建時間來判斷是否是DLL後門。
DLL型病毒的清除
1.在確定DLL病毒的文件的話請嘗試下邊的移除方法:
a. 開始——運行——輸入"Regedit" ;
b. 搜索「*.dll」 ;
c. 刪除搜索到的鍵值;
d. 重啟;
e. 轉到C:\Windows\System32\;
f. 刪除*.dll;
2.到注冊表下列地方尋找DLL的蹤跡
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/Svchost
3.如果上邊的地方都找不到的話建議使用優化大勢進程顯示工具對RUNDLL32.EXE和SVCHOST.EXE里邊運行的DLL程序進行核實找到病毒文件對其進行結束,然後在對他進行刪除。建議使用第1種方法是非常有效的。
三、$NtUninstallQxxxxxxx$(x代表數字)型病毒
這個屬於惡意腳本文件病毒。C盤下生成文件夾:$NtUninstallQxxxxxxx$(x代表數字)冒充微軟更新補丁的卸載文件夾,並且在Win2000/XP下擁有系統文件級隱藏屬性。下邊說下清楚方法:
注冊表手動刪除啟動項,參考:
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
刪除:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
刪除:Sys32,值為:C:\$NtUninstallQxxxxxxx$\WINSYS.vbs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除:Sys32,值為:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
刪除:internat.exe,值為:internat.exe
刪除整個$NtUninstallQxxxxxxx$ 目錄
補充說明
系統文件夾(\WINNT或\Windows)下出現的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類文件夾是Windows Update 或安裝微軟補丁程序留下的卸載信息,用來卸載已安裝的補丁,按補丁的編號如Q823980、Q814033 可以在微軟的網站查到相應的說明。請注意與惡意代碼建立的文件夾區分。
四、壓縮文件殺毒工具對其不能刪除
這類病毒大多是在IE臨時文件里的,請對臨時文件進行清除即可清楚此類病毒,建議定時清理IE臨時文件。