篇一:恶意软件术语
一般用户称之为病毒的并不是真正的病毒,除了蠕虫病毒,还包括一些恶意软件,许多人会将恶意软件称之为病毒,如特洛伊木马、访问权限工具等,用户只有了解了它们才能知晓其中的危害。
恶意软件
恶意运作软件简称恶意软件。许多人使用病毒来解释这一类软件,但是确切的说病毒只是这一类中的一种。恶意软件包括了所有会产生危害的软件。
1、病毒
首先来讲讲病毒。病毒是一种恶意软件,它能自我复制,并感染其他文件,就像生物学上的病毒那样,病毒先感染细胞,然后利用这些细胞不断繁殖。
病毒能做许多事情。例如它能隐藏自己,窃取密码,强制弹出广告,使电脑重启。光有这些还不足以称之为病毒。病毒之所以称为病毒是因为他们的繁殖能力。当一个病毒在计算机中运行时,它会感染机器中的程序。如果把感染的程序放在另一台计算机中运行,那么这台机器也会被感染。比如说一个病毒可能感染了一个u盘,当u盘插到一台电脑上,并运行了被感染的程序,病毒就会被传染到计算机中,然后还会感染更多的程序文件,就这样,感染会无限进行下去。
2、蠕虫病毒
蠕虫病毒与病毒很相似,只是它们的传播方式不同。蠕虫病毒通过网络进行传播,而病毒是通过感染文件或者通过人为移动病毒文件进行传播。冲击波蠕虫和震荡波蠕虫就是典型的例子。他们在Windows?XP系统间传播的非常快,其原因就是Windows?XP系统中没有安全的保护系统,系统服务完全暴露在网络上。蠕虫病毒就可以从网络中进入XP的系统服务中,找到系统中的漏洞后,开始感染系统。然后它就可以利用受染计算机进行自我复制。虽然现在Windows系统中有了默认的防火墙是的蠕虫病毒变得少见了,但它们还是有别的方式可以传播。例如蠕虫病毒能通过已感染用户的邮件地址簿把自己传播给所有通讯录上的人。
像病毒一样,蠕虫病毒一旦成功感染计算机,它就能够实现许多目的。其主要目的就是继续进行复制传播。
3、特洛伊木马
特洛伊木马能将自己伪装成正常文件。当有人下载后,试图打开它,特洛伊木马就会在后台运行,并打开一个允许第三方访问的入口。特洛伊木马能够做更多的任务,比如监控计算机,把恶意代码下载到计算机中。它还可以将大量的恶意软件下载到计算机中。
特洛伊木马的特点就是它的形成过程。它先伪装成可用文件,当运行它时,特洛伊木马就会在后台运行,这时黑客就能够访问中招的电脑了。但它不会像病毒和蠕虫那样自我复制并通过网络传播,他们可能藏在盗版软件中进行传播。
4、间谍软件
间谍软件也是一种恶意软件,它在用户不知情的情况下监视用户。不同的间谍软件收集不同的数据。恶意软件都可以看做是间谍软件,比如说特洛伊木马就是一种恶意的间谍软件,它能监视用户键盘盗取财务数据。
更多合法间谍软件都会绑定免费的软件并且监视用户上网习惯。这些软件的编写者把收集到的数据出售给广告商从中牟取暴利。
5、广告软件
强制广告经常存于间谍软件中。任何类型的软件都可能含有广告,并不时地弹出提示。在程序中含有广告的软件一般不称为恶意软件。恶意的广告软件总是任意的在系统中植入各种广告。他们可以产生弹出式广告使得用户不能做其他事情。他们甚至可以把广告放入用户正在浏览的网页中。
广告软件获取用户的上网习惯后,可以更加有效的弹出对用户产生兴趣的广告。在Windows系统中,比起其他恶意软件,广告软件一般可以被用户接受,因为它是与正常软件捆绑在一起的。比如使用甲骨文Java制作的知道工具栏,用户就把它看做是广告软件。
6、键盘记录工具
恶意软件键盘记录工具也是运行于后台的,它能记录所有的键盘操作。这些操作内容包括用户名、密码、信用卡号及其他敏感数据。之后各种数据就会被发送到黑客的服务器上进行分析,从而找出有用的数据。
其他恶意软件也可以有此功能。商人可以通过此软件进行监视商业操作;夫妻双方可以通过此软件监视对方。
7、僵尸网络
僵尸网络是一个比较大的网络,网络中的计算机都处在网络开发者的控制之下。每一台电脑都被一种特殊的恶意软件感染了僵尸程序。
一旦僵尸软件感染了计算机,它就会在计算机和控制服务器上建立一条通道并等待着控制者发布指令。例如,它能进行DDoS攻击。如果控制者想向某网站发动攻击,那么所有僵尸计算机就会立马进行攻击那个网站,这些数以万计的攻击可使服务器立马瘫痪。
僵尸网络的制造者会把网络的入口出售给其他制造者,黑客还可以用来牟利。
8、根访问权限工具
根访问权限工具是一种恶意软件,旨在获取系统的最高权限,可以躲避安全程序和用户
的检查。比如说,该工具可以在系统运行之前就加载与系统深处,修改系统功能从而避开安全程序的检测。而且它也可以在任务管理器中隐藏。
根访问权限工具的核心就是一旦它运行起来,就可以藏匿起来。
9、勒索软件
勒索软件是一款劫持计算机或者文件的恶意软件,资源被劫持后,一般要求用户支付一定的赎金。有些勒索软件先让计算机不能使用,然后弹出窗口,要求付钱才能继续使用。但这种软件很容易被杀毒软件查到。
向CryptoLocker这种勒索软件通常会把文件内容变成一堆密码,然后要求支付一定的赎金再把文件恢复。在没有文件备份的情况下,遭遇这种软件是非常糟糕的。
大部分恶意软件都是利益驱使的,勒索软件就是典型例子。勒索软件不会破坏计算机,不会删除文件,仅仅是为了钱。劫持一些文件,获取快捷入账。
恶意软件的危害到底有多大,从上述介绍的一些常见情况,用户就可以很清楚的了解了。恶意软件无处不在,用户在使用操作系统的时候要特别的小小。
篇二:常见恶意软件说明
常见恶意软件说明
篇三:LPK劫持者木马和解决方法
LPK劫持者木马简介和解决方法
在2012年12月其中一周内瑞星共截获了607848个钓鱼网站,共有277万网民遭遇钓鱼网站攻击。有一个名为“Trojan.Spy.Win32.Hijclpk.a(‘LPK劫持者’木马病毒)”应引起大家警惕。该病毒运行后,将在系统文件夹内施放一个盗号木马,并修改注册表,以实现开机自启动。同时,该病毒还会搜索所有含有exe文件的文件夹以及rar压缩文件,然后进行自我复制,以便进行大范围传播。除此之外,该病毒还将感染部分html文件和js脚本,使其指向黑客指定的挂马网站。最后,该病毒还将恶意代码注入windows进程中,以实现监听用户电脑的目的。用户一旦中毒,将被下载大量木马病毒,还要面临虚拟财产被盗、隐私信息泄露等威胁。首次发现时间是2010年12月初,不过直到2011年2月份左右这个木马才正式活跃了起来。
《“LPK劫持者”全盘破坏“.exe”可执行程序和恶意劫持动态链接库程序“lpk.dll”》 病毒名称:“LPK劫持者”木马;
病毒别称(江民科技):“通犯”变种rnn;
病毒类型:木马;
病毒长度:133,120 字节;
病毒 MD5:7e6a61267592dd8afb9e2799b23f7cbd
危害等级:★★★★☆
感染系统:Windows 系统;
病毒样本:
附上“LPK劫持者”的木马样本,请在下载后24小时内删除。木马样本仅供学习参考使用,不得破坏他人计算机等非法用途,如有后果请自负,本人不承担任何法律责任! 附件:“LPK劫持者”木马样本.rar
“LPK劫持者”木马入侵受害者计算机后,首先会给自己创建主体程序和随机启动的服务项。木马主体程序是一个随机命名的程序“fwpfsp.exe”,它被创建到“C:\WINDOWS\system32”系统目录下,木马程序的图标竟然伪装《360安全卫士》的主程序图标,真不要脸啊。
然后在“C:\WINDOWS\system32”系统目录下再创建两个木马动态链接库程序“hra32.dll”和“hra33.dll”,然后将它们插入到木马主体进程“fwpfsp.exe”去运行。
给木马主体程序“fwpfsp.exe”创建一个随机命名的服务项来随机自动启动,本次测试创建的木马服务项的名称是“Nationalkdu”。
之后“LPK劫持者”木马将自身“fwpfsp.exe”复制到用户临时文件“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp”目录下并重命名为“hrl*.tmp”,再调入到内存中去运行。“hrl*.tmp”运行后,会弹出标题名为“AntiVirus”的窗体,内存中有几个“hrl*.tmp”运行就会弹出几个来。“AntiVirus”英文翻译过来是“杀毒软件”的意思,由于该木马本来模仿的就是《360安全卫士》的主程序图标。所以懂英语的受害者在不知情的情况下,还以为这是《360安全卫士》的弹窗。
PS:
“*”代表数字依次按照数学顺序排列,例如“hrl1.tmp”、“hrl2.tmp”、“hrl3.tmp”??由于受害者每次重启计算机后,随机启动的木马服务运行木马主体程序“fwpfsp.exe”之后,都会将自身“fwpfsp.exe”复制到用户临时文件“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp”目录下并按照数学顺序将其重命名为“hrl*.tmp”再去执行它们,然后“hrl*.tmp”运行后便会结束木马的主体进程“fwpfsp.exe”。想到这,各位也都应该明白了为什么“LPK劫持者”木马会创建“hrl*.tmp”来运行自己了。
一般每次重启计算机后“LPK劫持者”木马都会调用两个“hrl*.tmp”到内存中去运行,例如受害者本次重启计算机后检测到上次创建的两个病毒程序“hrl1.tmp”和“hel2.tmp”,那么第二次创建的两个病毒程序就是“hrl3.tmp”和“hrl4.tmp”。所以长时间未清理临时文件的情况下,日积月累,用户临时文件的文件夹目录下会出现大量的“hrl*.tmp,占用硬盘空间。
“LPK劫持者”木马程序“hrl*.tmp”运行后,会开启“8090”端口连接黑客服务器将用户隐私信息发送给黑客,而且随时接受黑客的命令下载其它的病毒和木马,在“命令提示符”里面输入DOS命令“NETSTAT /A /N”查看木马开启的端口和连接黑客服务器的IP地址。
还会破坏受害者的计算机,最明显的破坏行为就是全盘破坏“.exe”可执行程序和全盘恶意劫持动态链接库程序“lpk.dll”。
调用 MS-DOS 操作系统 程序“fine.exe”使用DOS命令全盘查找扩展名为“.exe”的可执行程序程序,在系统临时文件“C:\WINDOWS\Temp”目录下创建一个名称为“IRA***.tmp”的文件夹,“***”为随机数字,本次文件名是“IRA910.tmp”。然后将找到后的“.exe”可执行程序复制到该文件夹目录下,对其注入恶意代码,再把已注入恶意代码的“.exe”可执行程序放回原有目录下覆盖正常的“.exe”可执行程序。
通过《eXeScope》这个软件工具查看对比一下某个应用软件的主程序“.exe”被“LPK劫持者”木马破坏的前后!很明显,被“LPK劫持者”木马破坏的“.exe”可执行程序都被恶意添加了一个名称为“.adate”的段。
并在这些“.exe”可执行程序的当前目录下创建一个名称为“lpk.dll”的木马动态链接库程序。为什么在每个应用程序的文件夹目录下创建一个木马的“lpk.dll”呢?这就是“DLL劫持”技术。
因为“LPK劫持者”木马利用了 Windows 系统 的运行规则,将众多应用程序运行时需要加载的系统动态链接库程序“lpk.dll”伪装创建在这些应用程序的安装目录下。如果在运行某个程序时,这个程序存在“DLL劫持漏洞”,也就是没有设计“lpk.dll”动态链接库程序的指定系统加载路径:“%SystemRoot%\system32\lpk.dll”,那么 Windows 操作系统 的默认搜索方式会先将当前目录下木马的动态链接库程序“lpk.dll”插入到进程中运行,再去“C:\WINDOWS\system32”系统目录下搜索系统的动态链接库程序“lpk.dll”插入到进程中运行。
这是 Windows 操作系统 DLL动态链接库程序的加载顺序:“1.应用程序所在目录 =》
2.当前工作目录 =》3.系统目录 =》4.Windows目录 =》5.环境变量指定的目录”。
“LPK劫持者”木马在每个应用程序的安装目录下都创建了木马动态链接库程序“lpk.dll”,也就是说全盘哪个文件夹目录下存在“.exe”可执行程序就存在木马动态链接库程序。“lpk.dll”文件属性均为“只读”、“系统”和“隐藏”的文件属性,文件大小均是“130 KB”。也就是说,感染“LPK劫持者”木马计算机只要打开某个应用软件就会重新释放“LPK劫持者”木马。
“LPK劫持者”木马除了全盘劫持“lpk.dll”动态链接库程序之外,还会调用 MS-DOS 操作系统 程序“fine.exe”使用DOS命令全盘查找扩展名为“.rar”和“.zip”压缩文件,在系统临时文件“C:\WINDOWS\Temp”目录下创建一个名称为“IRA***.tmp”的文件夹,“***”为随机数字,本次文件名是“IRA818.tmp”。并向压缩包内恶意添加木马动态链接库程序“lpk.dll”,就是恶意利用《WinRAR》压缩软件的“rar.exe”将木马动态链接库程序“lpk.dll”压缩添加到“.rar”和“.zip”压缩文件中,这也解释了为什么感染“LPK劫持者”木马后会出现大量的“rar.exe”进程。然后将已被恶意添加木马动态链接库程序“lpk.dll”的“.rar”和“.zip”压缩文件放回原有目录下覆盖正常的“.rar”或“.zip”压缩文件。这样以后受害
者解压缩某些应用软件的同时也会把“lpk.dll”一起解压缩出来,再运行这个软件后同样会重新释放“LPK劫持者”木马。
这是感染“LPK劫持者”木马后的“任务管理器”进程截图,会出现大量的“fine.exe”和“cmd.exe”还有“hrl*.tmp”进程。
被“LPK劫持者”木马全盘感染的“.exe”可执行程序并不是像“威金”病毒那样将自身捆绑到程序中运行后会重新释放病毒,而是注入一种破坏命令代码,就是诺在当前目录下检测不到木马动态链接库程序“lpk.dll”就不运行。所以,当把木马在某些应用软件安装目录下恶意添加的木马动态链接库“lpk.dll”删掉后,这个应用软件的主程序“.exe”打开后将不运行-----无响应。
“LPK劫持者”木马解决办法
第一步:
由于“LPK劫持者”木马在系统目录下都恶意添加了“lpk.dll”劫持,造成了运行某些系统工具都有可能程序释放“LPK劫持者”木马。例如在“C:\WINDOWS”系统目录下就恶意添加了木马动态链接库程序“lpk.dll”,所以默认随机启动运行的“explorer.exe”就会重新释放“LPK劫持者”木马,可以说“explorer.exe”反面上来讲也就变成了“LPK劫持者”木马的开机启动项。系统程序“explorer.exe”只是一个例子,如果受害者的计算机设置了多款应用软件随机自动运行,那么这些应用软件反面上来讲就都成了“LPK劫持者”木马的开机启动项。
这怎么办?不用怕,微软提供了指定“DLL劫持”的防范措施。
开始菜单-----运行 输入:“regedit.exe”(双引号去掉),调出“注册表编辑器”。依次展开至分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”,可以看到子项“KnownDLLs”分支下有多个系统动态链接库程序。
鼠标右键子项“KnownDLLs”菜单中选择“新建(N)”-----“字符串值(S)”,将其命名为“lpk”,“数值数据”设置为“lpk.dll”,确定。
退出“注册表编辑器”,务必重启一下计算机。
这样,一些需要加载“lpk.dll”的应用程序运行时会从系统目录下查找“lpk.dll”并加载,而不再会因为 Windows 操作系统 DLL动态链接库程序的加载顺序从当前目录下查找“lpk.dll”并加载了。
利用这个方法也可以防止其它“.dll”动态链接库程序遭“DLL劫持”!例如2009年初发现的“猫癣”木马同2010年末发现的“LPK劫持者”木马的行为一样,只不过该木马是全盘劫持动态链接库程序“usp10.dll”,导致当初重装系统也无法解决“猫癣”木马。为了防止“猫癣”木马通过全盘劫持“usp10.dll”死灰复燃,可以在注册表分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”下添加一个名称为“usp10.dll”的键值项。
PS:
采用内核 Windows NT 5.1 系列的操作系统默认情况下只有少数关键的“.dll”系统动态链接库程序在此子项下,而自从 Windows Vista 操作系统下采用 NT 6.1 内核的 Windows 7.0 操作系统下面此子项已经相当齐全,所以在 Windows 7.0 操作系统下发生“DLL劫持”的概率要比 Windows NT/2000/XP 操作系统下要小很多。
如图,这是 Windows 7.0 操作系统的注册表分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\KnownDLLs”右侧窗口截图。
第二步:
按“Ctrl + Alt + Del”键调出“任务管理器”,在里面结束“fwpfsp.exe”(不存在就跳过此步骤)和“hrl*.tmp”一系列的木马进程,“*”代表数字。
第三步:
使用《超级兔子》或者《Windows 优化大师》清理系统临时文件,主要目的是一键删除“LPK劫持者”木马在用户临时文件“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp”目录下创建的所有名称为“hrl*.tmp”的一系列木马程序,“*”代表数字。
删除“C:\WINDOWS\system32”系统目录下的木马主体程序“fwpfsp.exe”。
删除木马服务项,开始菜单-----运行 输入:“regedit.exe”(双引号去掉),调出“注册表编辑器”。依次展开至“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root”分支下面找到名称为“LEGACY_NATIONALKDU”的子项,鼠标右键子项“LEGACY_NATIONALKDU”菜单中选择“删除(D)”。这时,删除子项“LEGACY_NATIONALKDU”会弹出“删除项时出错”的对话框。
这是因为这个注册表分支在“权限”上被限制了只能访问而不能删除的操作。鼠标右键子项“LEGACY_NATIONALKDU”菜单中选择“权限(P)...”。
安全??把子项“LEGACY_NATIONALKDU”下面所有用户权限的“完全控制”打上勾,确定,再删除子项“LEGACY_NATIONALKDU”。
返回注册表五大预定义项,重新依次展开至“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支下面找到名称为“Nationalkdu”的子项,鼠标右键子项“Nationalkdu”菜单中选择“删除(D)”。如图,可以很清楚看到木马服务项“Nationalkdu”指向“C:\WINDOWS\system32”系统目录下的木马主体程序“fwpfsp.exe”。
退出“注册表编辑器”,务必重启一下计算机。
第四步:
“LPK劫持者”木马在每个应用程序安装目录下都恶意添加创建的木马动态链接库程序“lpk.dll”,怎么办?一个一个删除岂不是太麻烦?干脆有人全盘格式化重装系统了。
千万不要全盘格式化重装系统,使用一个DOS命令就能彻底地全盘删除“LPK劫持者”木马在全盘应用程序安装目录下以及其子目录下恶意添加创建的木马动态链接库程序“lpk.dll”。
开始菜单----运行 输入:“cmd.exe”(双引号去掉),在“命令提示符”的黑色窗口里面输入DOS命令:DEL /F /S /A /Q *:\lpk.dll
PS:
“*”代表驱动器磁盘分区的盘符,上面的截图是删除“LPK劫持者”木马在C盘所有文件夹目录下恶意添加创建的“lpk.dll”,有几个驱动器磁盘分区就按照上述方法做几次。
例如删除“LPK劫持者”木马在D、E、F盘所有文件夹目录下恶意添加创建的“lpk.dll”,可以分别输入DOS命令“DEL /F /S /A /Q D:\lpk.dll”、“DEL /F /S /A /Q E:\lpk.dll”、“DEL /F /S /A /Q F:\lpk.dll”(双引号去掉)。
“LPK劫持者”木马并没有恶意替换“C:\WINDOWS\system32”系统目录下正常的系统动态链接库程序“lpk.dll”,那么使用DOS命令删除会不会也把“C:\WINDOWS\system32”系统目录下的正常的系统动态链接库程序“lpk.dll”删除掉呢?不用担心,因为系统动态链接库程序“lpk.dll”是某些系统服务启动后需要加载的重要文件之一,由于正在被这些系统服务调用运行中,所以删除时会提示“拒绝访问”。
第五步:
除了系统目录下一些系统程序“.exe”未被“LPK劫持者”木马破坏之外,其它被木马破坏的“.exe”可执行程序可以通过覆盖重装这些应用软件即可解决问题。目前还没有一款杀毒软件能把“LPK劫持者”木马在“.exe”可执行程序中注入的恶意代码剥离出来,不过可以试试各个杀毒软件。
《捆绑软件病毒》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/39252.html
转载请保留,谢谢!
- 上一篇:教师专业技术经历
- 下一篇:史铁生以亲身经历