QQ视频诈骗木马病毒盗取通讯录和相册会长期保存吗
会。
只要那个骗子不删除,通讯录和相册会永久保存。
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
一下载出来的视频说是木马软件是怎么回事,不卸载会弄坏手机么?
你好,你下载的这个视频是在哪里下载的呢,这个里面的视频是不安全的,如果不卸载你的手机程序会被损坏的。你以后可以在PC版应用宝里面下载视频啦,我的手机视频都是在这里面下载的。
在这里面下载的视频没有广告,没有病毒,让我用的很放心啦。
你就先在电脑上安这个软件,打开手机的USB调试,连接之后,在手机应用中选择视频,
然后在搜索栏里面找到你喜欢看的就可以啦,希望可以帮助你啦。
app内有木马病毒有资金风险
使用借贷APP一定要从正规渠道下载,现在一些新型网络贷款团伙通过在APP中嵌入木马病毒来控制借款人手机,从而达到催收回款的目的。近期,上海警方就打掉了一个这样的团伙,涉案成员遍及全国各地。
软件嵌入木马病毒
今年8月,上海警方接到吴先生报案,称其受到了暴力催收。吴某表示,8月初其在一网站论坛上看到一款贷款广告,宣称不需要提供个人征信并且放款快,只需要在申请借款时向工作人员提供手机的品牌及具体参数即可,这让他很心动。
在与客服交流中,吴先生得知放贷额度是根据其手机回购价值进行评估,一般按照20%发放,所以需要提供自用手机的详细参数。吴先生向客服提供了手机的相关信息和登录账号后,得到了客服发来的链接,吴先生打开链接下载了一款名为“聚宝盆”的贷款软件。
客服告知吴先生,评估其手机价值后得到其贷款额度为400元,但实际只能放款200元,剩下200元将作为利息收取,3天后吴先生总共需还款400元,如逾期,每天将收取100元的逾期费。得到吴先生的认可后,客服给他转账200元。
3天过后吴先生未按时还款,这时发现自己的手机无法正常操作,就连恢复出厂设置也不能使手机恢复正常,客服告诉吴先生,这是因为未还款导致手机被锁死。吴先生于是向警方报案。
警方在调查中发现,这是一起以品牌手机贷的名义实施高息套路贷的骗局。今年9月,警方在掌握具体证据后对该团伙进行了抓捕。据了解,27岁的朱某是团伙核心人物,他委托技术人员开发了名为聚宝盆的手机软件,该贷款软件实质嵌入了木马程序,能在后台远程控制下载软件的手机。在业务开展过程中,朱某发展了冷某等下线,教会其使用该木马程序远程控制他人手机。冷某还在辽宁租赁办公场所,制定放款额度、提供收款账号,同时雇佣杨某、王某、赵某等人进行放贷、催收、锁机等操作。
今年7月起至9月该团伙落网,涉案流水金额超过50万元,非法获利逾26万元。目前,朱某、冷某等5人因涉嫌非法经营罪被检察机关依法批准逮捕,其余8名犯罪嫌疑人已被采取刑事强制措施。
窃取隐私信息意在控制用户
通过下载工作人员发送链接中的借贷APP软件造成损失的案例比比皆是。因为没有经过正规应用商店的筛选,许多软件被轻易嵌入木马插件,轻则收集用户隐私信息,严重则直接让用户的机器瘫痪。
在相关新闻报道中,一些小型贷款机构为催回款项,喜欢在贷款APP中嵌入一些程序,实时获取用户的具体位置。有用户在黑猫投诉上反应,其在一款借贷APP上借款逾期之后,实时收到了自己所在位置的短信,他怀疑自己手机被监视了。
一些网贷APP嵌入的木马病毒并不会随着应用卸载而消失,在相关论坛中,有讨论者表示,他卸载了APP之后,新录入的联系人信息仍然泄露出去,并且被催收公司发送骚扰信息。专业人士表示,这种情况的出现是因为手机之前下载的APP被嵌入了插件或木马,即使卸载软件,插件还是存在手机里,继续窃取用户隐私信息。用户一般通过格式化手机可以达到彻底清除病毒。
在常见恶意催收方式中,还有通过读取债务人手机相册和媒体文件,并将隐私照片发送给债务人的情况。这种方式虽然并未通过嵌入插件等方式来非法获取,而是通过在默认同意的“隐私协议条款”加上授权读取相关隐私信息的选项。但这种过度搜集信息的方式仍然是不合规的,特别是个人信息保护法实施后,过度搜集与提供的服务无关的个人信息将会受到严厉打击。
恶意催收的屡禁不止一定程度上也反映出借贷平台对逾期坏账的担忧。一些平台因为前期风控问题在放贷过程中授信不严格、审核不规范等,导致后期需要催收的逾期贷款居高不下。面对一些老赖和撸贷族的恶意逃废债,这些机构通过正规催收方式催回款的占比极低,于是它们选择了铤而走险的方式。而其他大型的委外催收机构,面临的同业竞争加剧,也需要提高自己的催收回款能力,在给业务员施加极大的业务要求时,没能开发出更优质的催收方式,这也导致了使用违法催收方式的增加。
有哪些诈骗套路
有哪些诈骗套路
有哪些诈骗套路,社会的发展和信息技术的不断进步,一些电信网络诈骗团伙也蠢蠢欲动伺机埋伏,其中短信诈骗也是其中比较常见的一种。以下详细介绍有哪些诈骗套路。
有哪些诈骗套路1
一、贷款类套路
通过低利息、付费、木马程序、虚假网站等方式诈骗
高仿网贷平台?要当心!
不法分子开发高仿的网站或应用程序,再以短信、网页广告等形式广撒网,引人中招。一旦有受害者下载注册,不法分子会提前在敏感、关键细节处嵌入恶意链接,窃取包括银行卡号、密码等重要信息,涉及金钱的服务,请认准官方网站及平台。
只需身份证、低利息、先付费?定有诈!
只需身份证/无抵押/无担保/低利息/高额度贷款,不法分子通过这些噱头引诱受害者上钩。一旦受害者提出贷款申请,不法分子就以收缴保险费、保证金、暴露身份身份信息等等为由,诱骗、威胁受害人转账汇款。而正常贷款、银行或者正规网贷方,需要审核征信、收入证明等,且贷款发放前不会收入任何费用,通过后只会发放适量的手续费、管理费。
花钱消除信用污点 ,骗人!
由于不少借款人申贷被拒是个人信用产生污点导致,于是骗子也做起了这种买卖:号称银行里有熟人,或以花钱消除征信污点,一旦你上套,大笔的好处费就进了骗子的腰包,而你的个人征信却并不会因此好看半点。因为,个人征信由中国人民银行征信中心统一管理,一旦出现污点,需还清欠款以后,保持5年的良好记录,才可以消除,任何人,即便银行员工也无权修改。
木马程序盗取银行卡信息
这种骗局相对隐蔽,骗子一般首先设局,将事先编好的贷款信息,以短信、QQ消息、微信等形式群发,待借款人上钩以后,骗子发送“木马”程序安装包,借款人乖乖按要求提交自己的银行卡卡号、密码等重要信息以后,银行卡内的余额就被全部转走。
不要轻信任何私人、不正规贷款机构发过来的信息,更不要在不信任的网站上输入自己的身份证号码、银行卡号密码等重要信息。
二、冒充类套路
通过冒充成受害人的领导、亲友,或假扮政府机构、企业单位等身份实施诈骗。
冒充官方
冒充官方客服,以“赔偿退款”“机票改签”“银行卡异常”“快递理赔”等为由,向当事人索要银行卡账号和身份信息,并套出银行验证码,随后盗取卡内钱款。
冒充公检法人员
骗子冒充疾控中心、社保中心、通信管理局、公安、法院等单位,以查收法院传票、包裹单等借口吸引事主注意力,然后以事主个人信息泄露,银行账户涉嫌洗钱、毒品犯罪或需要调查等为由、要求受害人配合调查以证清白,把存款转到对方给的“安全账户”;
或者要求受害人将所有资金汇集到自己的某张银行卡,然后通过骗取受害人该张银行卡的密码、验证码、网银等信息将该张银行卡的资金转走。
冒充亲友
利用网络通讯“QQ”等即时文字、视频聊天工具,通过植入木马或者病毒事先盗取事主个人信息和视频片段,然后冒充事主本人向网络好友借钱。或者直接通过社交软件修改备注、头像等,冒充学校老师、好友等,以“收费”、“借钱”为由行骗,或声称在遭遇突发状况,要求朋友帮忙转账。
三、招聘类套路
电商刷单、寄拍?都是套路!
不法分子以“敲敲键盘就能赚钱”的旗号诱惑学生应聘,前几单按照约定报酬以获取信任,让受害人不断加大投入,最后再以“任务未完成”“卡单”等各种借口拒绝退还钱款,并不断蛊惑受害人继续刷单。最近也兴起一种新刷单-寄拍。不法分子通过社交平台进行联系
声称事主条件适合寄拍模特条件,然后下载APP,或者注册网站,提交押金或注册会员后可以开始接寄拍单,但实际上骗子收钱后就消失。神琥司鉴提示,【网】络刷单本就是违法行为,任何刷单、寄拍等要求提前垫资的,都是诈骗。
传销骗局
此类招工往往以轻松赚大钱、无需面试直接上岗为噱头吸引求职者,要求你缴纳一定"入门费",或花钱购买一定数量的产品,通过讲课、洗脑、恐吓等方式指派各种“推销任务”,再骗取其他人“入会”。求职者不仅会遭受财产损失,人身安全还得不到保障,一旦被骗入传销组织后,便很难脱身,从此走上传销不归路,影响人生前途。
【 黑】中介骗局
这些非法中介以介绍工作为名,往往要先扣押求职者的身份证,并要求缴纳报名费、服务费、会员费等费用。结果却往往是好工作没找到,证件和缴纳的费用也不予退回,甚至不少中介人去楼空,求职者遭受多重打击。
见面缴费、培训缴费骗局
不法分子诱骗求职者面试后,以交服装费、体检费等名义,或打着先培训,后上班的旗号等方式收钱,承诺收钱后,即可安排工作,但最终骗子要么找借口不给安排工作,要么人去楼空。
境外招聘骗局
此类招工以“高薪”“包机票、包食宿”等信息诱导求职者出境,前往缅甸、柬埔寨、菲律宾、老挝、马来西亚等国家。然而,许多公民出境后被强迫从事电信网络诈骗、网络赌博和卖淫等违法犯罪活动。如不配合或不能完成分配的“业绩”,即被实施酷刑,甚至殒命境外。
有哪些诈骗套路2
网络诈骗安全知识:
网络诈骗定义:在互联网上以各种形式向他人骗取财物的诈骗手段。
网络诈骗手法:“假冒好友”诈骗:骗子通过各种方法盗窃QQ账号、邮箱账号后,向用户好友、联系人发布信息,声称遇到紧急情况,请对方汇款到指定账户。
“网络钓鱼”诈骗:“网络钓鱼”是当前最为常见也是较为隐蔽的网络诈骗形式。所谓“网络钓鱼”,是指犯罪分子通过使用“盗号木马”、“网络监听”以及伪造的假网站或假网页等手法,盗取用户的银行账号、证劵账号、密码信息和其他个人资料,然后以转账盗款、网上购物或制作假卡等方式获取利润。主要可细分为以下两种方式。
一是发送电子邮件,以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、对账等内容引诱用户在邮件中填入金融账户密码,或是以各种紧迫的理由要求收件人登入某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。
二是建立假冒网上银行、网上证劵网址,骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证劵交易平台极为相似的网站,引诱账户输入密码账户等信息,进而通过真正的网上银行、网上证劵系统或者伪造银行储存卡、证劵交易卡盗窃资金。
还有利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意代码,屏蔽住一些可以用来辨别网页真假的重要信息,也盗取用户信息。
电信诈骗:嫌疑人一般冒充电信局等工作人员谎称事主电话欠费,然后转向冒充的“公安人员”,谎称事主身份信息被冒用被实施诈骗。
网上中奖诈骗:嫌疑人谎称事主在上中奖了,谎称事主要先支付领奖的手续费和运费。
网络购物诈骗的主要方式:
1、谎称其货物为海关罚没物品,要求网民付一定的保证金、押金、定金;
2、谎称网民下订单时单卡,要求网民重新支付或重新下订单;
3、谎称支付宝系统正在维护,要求网民直接将钱汇到指定的银行账户中;
4、谎称购物网站系统故障,要求网民重新支付;
5、谎称网店正在搞促销、抽奖活动,需缴纳一定的手续费等等;
6、网民在网购飞机票时,嫌疑人谎称网民提供身份信息有误,要求网民重新支付票费;
7、谎称需要进行资格验证,要求网民支付验证资质费;
8、谎称店内无货,朋友的店里有货,于是推荐一个差不多的网址。
9、其他方式:吸纳会员,骗取注册费等。
有哪些诈骗套路3
一、诈骗主要形式有哪些
1、诈骗的主要形式主要包括,
(1)以遭遇某种害人需要帮助来诈骗;
(2)以特殊身份进行诈骗;
(3)以中介的名义进行诈骗;
(4)利用熟人关系进行诈骗;
(5)以及通过小的利益取信于人来实行诈骗。
2、法律依据:
《中华人民共和国刑法》第二百六十六条 ,诈骗公私财物,数额较大的`,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。本法另有规定的,依照规定。
《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》第一条 ,诈骗公私财物价值三千元至一万元以上、三万元至十万元以上、五十万元以上的,应当分别认定为刑法第二百六十六条规定的“数额较大”、“数额巨大”、“数额特别巨大”。
二、怎样才属于诈骗罪
1、以非法占有为目的,用虚构事实或者隐瞒真相的方法,骗取数额较大的公私财物的行为。本罪侵犯的客体是公私财物所有权。
2、本罪在客观上表现为使用欺诈方法(虚构事实或者隐瞒真相方法)骗取数额较大的公私财物。
三、遇到网贷诈骗应当怎么处理
1、被害人可以收集与网络贷款诈骗的证据,如网站截图、转账记录、聊天记录等。
2、被害人可以向公安机关报案,提交收集的证据材料,让公安机关介入调查,追究诈骗分子刑事责任。
3、如果损失没有全部退赔的,被害人可以向法院提起民事诉讼,向诈骗分子主张赔偿
诈骗的主要形式主要包括,以遭遇某种害人需要帮助来诈骗;以特殊身份进行诈骗;以中介的名义进行诈骗;利用熟人关系进行诈骗;以及通过小的利益取信于人来实行诈骗。
为什么在国外的视频下载网站来下载视频,很多都是exe格式的东西,打开后360检测有木马
有以下可能:
安全软件误报,通常国内的安全软件误报率很高,不是恶意程序也被误报成恶意程序
有些程序虽然不是恶意程序,但是有木马特征,比如易语言开发的软件,多数会被安全软件误报
也许你下载的东西就是木马,有很多下载站在下载资源捆绑木马
exe结尾的视频通常是录制屏幕教程,生成的程序,无需播放器,即可在windows下播放。有捆绑病毒的可能。
建议你用卡巴斯基等国外的安全软件查杀,误报较少,
国内的360之类的都是渣,360的老总以前是3721流氓主页的老板,自己本来就是流氓,现在想洗白没门
木马程序是什么?
在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马,当初怎么就想不通它与病毒扯上关系了。经过一番了解,原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市,从而一举占领敌方城市的故事,因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟:它就是通过潜入你的电脑系统,通过种种隐蔽的方式在系统启动时自动在后台执行的程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,达到当你上网时控制你的电脑,以窃取你的密码、游览你的硬盘资源,修改你的文件或注册表、偷看你的邮件等等。
一旦你的电脑被它控制,则通常表现为蓝屏然死机;CD-ROM莫名其妙地自己弹出;鼠标左右键功能颠倒或者失灵或文件被删除;时而死机,时而又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。
不过要知道,即使发现了你的机器染上木马病毒,也不必那么害怕,因为木马病毒与一般病毒在目的上有很大的区别,即使木马运行了,也不一定会对你的机器造成危害。但肯定有坏处,你的上网密码有可能已经跑到别人的收件箱里了,这样黑客们就可以盗用你的上网账号上网了!木马程序也是病毒程序的一类,但更具体的被认为黑客程序,因为它入侵的目的是为发布这些木马程序的人,即所谓的黑客服务的。
本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。
木马的基本特征
木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征:
1、隐蔽性是其首要的特征
如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面:
a、不产生图标
它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;
b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。
2、它具有自动运行性
它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能
现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开特别的端口
木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。
6、 功能的特殊性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
7、黑客组织趋于公开化
以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。
木马入侵的常用手法及清除方法
虽然木马程序千变万化,但正如一位木马组织的负责人所讲,大多数木马程序没有特别的功能,入侵的手法也差不多,只是以前有关木马程序的重复,只是改了个名而已,现在他们都要讲究效率,据说他们要杜绝重复开发,浪费资源。当然我们也只能讲讲以前的一些通用入侵手法,因为我们毕竟不是木马的开发者,不可能有先知先觉。
1、在win.ini文件中加载
一般在win.ini文件中的[windwos]段中有如下加载项:
run= load= ,一般此两项为空,如图1所示。
图1
如果你发现你的系统中的此两项加载了任何可疑的程序时,应特别当心,这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中之后,那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序,但你要知道这更是木马利用的好机会,它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,这个文件名也往往用你常见的文件,如command.exe、sys.com等来伪装。
2、在System.ini文件中加载
我们知道在系统信息文件system.ini中也有一个启动加载项,那就是在[BOOT]子项中的“Shell”项,如图2所示。
图2
在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样,只需稍稍改"Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的,而是直接把“Explorer”改为别的什么名字,因为他知道还是有很多朋友不知道这里就一定是“Explorer”,或者在“Explorer”加上点什么东东,加上的那些东东肯定就是木马程序了。
3、修改注册表
如果经常研究注册表的朋友一定知道,在注册表中我们也可以设置一些启动加载项目的,编制木马程序的高手们当然不会放过这样的机会的,况且他们知道注册表中更安全,因为会看注册表的人更少。事实上,只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如图3所示;
图3
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如图4所示。
图4
你只要按照其指定的源文件路径一路查过去,并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了,不过同样要注意木马的欺骗性,它可是最善于伪装自己呵!同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名,如有则立即删除。
4、修改文件打开关联
木马程序发展到了今天,他们发现以上的那些老招式不灵了,为了更加隐蔽自己,他们所采用隐蔽的手段也是越来越高明了(不过这也是万物的生存之道,你说呢?),它们采用修改文件打开关联来达到加载的目的,当你打开了一个已修改了打开关联的文件时,木马也就开始了它的运作,如冰河木马就是利用文本文件(.txt)这个最常见,但又最不引人注目的文件格式关联来加载自己,当有人打开文本文件时就自动加载了冰河木马。
修改关联的途经还是选择了注册表的修改,它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目,如冰河木马修改的对象如图5所示,
图5
如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”,而是改为“sy***plr.exe %1”。
以上所介绍的几种木马入侵方式,如果发现了我们当然是立即对其删除,并要立即与网络断开,切断黑客通讯的途径,在以上各种途径中查找,如果是在注册表发现的,则要利用注册表的查找功能全部查找一篇,清除所有的木马隐藏的窝点,做到彻底清除。如果作了注册表备份,最好全部删除注册表后再导入原来的备份注册表。
在清除木马前一定要注意,如果木马正在运行,则你无法删除其程序,这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项,如果你是在木马处于活动时删除该项的话它能自动恢复,这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除
0条大神的评论