电脑病毒里的十大最厉害的病毒是什么？

十大病毒排行中，“灰鸽子”木马及其变种以其广泛的传播性和极高的危害特征名列十大病毒之首，成为2006年上半年名副其实的“毒王”。以窃取“传奇”等网络游戏账号为目的“传奇木马”名列第二，而以制造“僵尸网络”的BOT类病毒“高波”和“瑞波”并列第三名。此外，攻击微软IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本CHM木马以及攻击微软2006年首个0day漏洞（MS06-001）WMF木马名列十大病毒第四、第五位，通过QQ传播的盗窃“传奇”号码的“QQ大盗”病毒名列第六，同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点的“维京”病毒名列第七，以盗取QQ或网络游戏的帐号密码为目的“传华木马”名列十大病毒之八，窃取工行网上银行的“工行钓鱼木马”以及国内首例敲诈用户钱财的“敲诈者”病毒分别名列十大病毒第九、第十位。

江民2006年上半年病毒疫情报告指出，2006年上半年未发生重大的计算机病毒疫情，病毒仍然沿袭了2005年的总体特征，以盗号窃秘的木马病毒为主。2006年上半年病毒呈现的新特征还包括，僵尸网络病毒仍有发作，但较去年有所减弱，新发现的僵尸网络病毒传染性更强，综合利用了微软操作系统的多种漏洞。利用微软0day漏洞的WMF恶意代码1、2月份在网上传播较为广泛，多家网站被种植了该恶意代码。此外，通过QQ进行传播的Adware类病毒在上半年发作的病毒总数中占有较大比例，这跟QQ用户群广泛以及应用十分频繁有关，用户的安全意识薄弱，随意点击不明链接也是此类广告件频发的重要原因。2006年上半年，江民反病毒中心监测到国内首例通过隐藏电脑用户数据进行勒索钱财的敲诈病毒，虽然此类病毒在国外早有报道，但在国内尚属首次。

据江民科技反病毒中心统计，从2006年1月1日到2006年6月28日，反病毒中心共截获新病毒33358种，江民KV病毒预警中心显示，1至6月全国共有7322453台计算机感染了病毒，监测发现新老病毒发作次数总计178931441次（包括同台电脑同一病毒感染多种文件数）。

根据江民全球病毒监测网(国内部分)、江民病毒预警中心、客户服务中心等多个部门联合监测统计，综合病毒的破坏能力以及传播范围，江民反病毒中心公布了2006上半年度十大病毒排行：

http://cimg2.163.com/tech/2006/7/10/20060710181210ec30d.jpg[/img]

世界最强的十大电脑病毒是什么

一、ANI病毒 病毒名称：Exploit.ANIfile 病毒中文名：ANI病毒 病毒类型：蠕虫 危险级别：★★ 影响平台：Windows 2000/XP/2003/Vista 描述： 以Exploit.ANIfile.b为例，“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后，自我复制到系统目录下。修改注册表，实现开机自启动。感染正常的可执行文件和本地网页文件，并下载大量木马程序。感染本地磁盘和网络共享目录下的多种类型的网页文件（包括*.HTML，*.ASPX，*.HTM，*.PHP，*.JSP，*.ASP），植入利用ANI文件处理漏洞的恶意代码。自我复制到各逻辑盘根目录下，并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒，造成再次感染。修改hosts文件，屏蔽多个网址，这些网址大多是以前用来传播其它病毒的站点。另外，“ANI毒”变种b还可以利用自带的SMTP引擎通过电子邮件进行传播。 二、U盘寄生虫 病毒名称：Checker/Autorun 病毒中文名：U盘寄生虫 病毒类型：蠕虫 危险级别：★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：Checker/Autorun“U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。 三、熊猫烧香 病毒名称：Worm/Viking 病毒中文名：熊猫烧香 病毒类型：蠕虫 危险级别：★★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：以Worm/Viking.qo.Html“威金”变种qo（熊猫烧香脚本病毒）为例，该病毒是由“熊猫烧香”蠕虫病毒感染之后的带毒网页，该网页会被“熊猫烧香”蠕虫病毒注入一个iframe框架，框架内包含恶意网址引用 ，这样，当用户打开该网页之后，如果IE浏览器没有打上补丁，IE就会自动下载并且执行恶意网址中的病毒体，此时用户电脑就会成为一个新的病毒传播源，进而感染局域网中的其他用户计算机。 四、“ARP”类病毒 病毒名称：“ARP”类病毒 病毒中文名：“ARP”类病毒 病毒类型：木马 危险级别：★★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 五、代理木马 病毒名称：Trojan/Agent 病毒中文名：代理木马 病毒类型：广告程序 危险级别：★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：以“代理木马”变种crd为例， Trojan/Agent.crd是一个盗取用户机密信息的木马程序。“代理木马”变种crd运行后，自我复制到系统目录下，文件名随机生成。修改注册表，实现开机自启。从指定站点下载其它木马，侦听黑客指令，盗取用户机密信息。 六、网游大盗 病毒名称：Trojan/PSW.GamePass 病毒中文名：网游大盗 病毒类型：木马 危险级别：★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：以Trojan/PSW.GamePass.hvs为例，“网游大盗”变种hvs是一个木马程序，专门盗取网络游戏玩家的帐号、密码、装备等。 七、鞋匠 病毒名称：Adware/Clicker 病毒中文名：鞋匠 病毒类型：广告程序 危险级别：★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：以Adware/Clicker.je为例，“鞋匠”变种je是一个广告程序，可弹出大量广告信息，并在被感染计算机上下载其它病毒。“鞋匠”变种je运行后，在Windows目录下创建病毒文件。修改注册表，实现开机自启。自我注册为服务，服务的名称随机生成。侦听黑客指令，连接指定站点，弹出大量广告条幅，用户一旦点击带毒广告，立即在用户计算机上安装其它病毒。 八、广告泡泡 病毒名称：Adware/Boran 病毒中文名：广告泡泡 病毒类型：广告程序 危险级别：★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：以 Adware/Boran.e为例，“广告泡泡”变种e是一个广告程序，采用RootKit等底层技术编写，一旦安装，很难卸载彻底。该程序会在C:\Program Files\MMSAssist下释放出病毒文件。在后台定时弹出广告窗口，占用系统资源，干扰用户操作。 九、埃德罗 病毒名称：TrojanDownloader 病毒中文名：埃德罗 病毒类型：广告程序 危险级别：★ 影响平台：Win 2000/XP/2003 描述： Adware/Adload.ad“埃德罗”变种ad是一个广告程序，在被感染计算机上强制安装广告。 十、IstBar脚本 病毒名称：TrojanDownloader.JS.IstBar 病毒中文名：IstBar脚本 病毒类型：木马下载器 危险级别：★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 描述：TrojanDownloader.JS.IstBar.t“IstBar脚本”变种t是一个用JavaScript语言编写的木马下载器。“IstBar脚本”变种t运行后，在用户的计算机中强行安装IstBar工具条，造成用户系统变慢，自动弹出广告，强行锁定用户的IE首页等等。 2007年上半年，江民反病毒中心共截获新病毒73972种，另据江民病毒预警中心监测的数据显示，1至6月全国共有14081895台计算机感染了病毒，其中感染木马病毒电脑9489649台，占病毒感染电脑总数的 67.38%，感染广告程序电脑1859165台，占病毒感染电脑总数的13.20%，感染后门程序电脑928294台，占病毒感染电脑总数的6.59%，蠕虫病毒782380台，占病毒感染电脑总数的5.55%，监测发现漏洞攻击代码感染359772台，占病毒感染电脑总数的2.55%，脚本病毒感42346台，占病毒感染电脑总数的0.30%。 二、病毒疫情区域特征明显 鲁、苏、粤居前三 据江民病毒预警中心提供的数据显示，2007年病毒疫情比较严重的地区排前十位的分别是：山东、江苏、广东、北京、四川、河南、湖南、辽宁、上海和浙江。 历来山东、江苏、广东都是病毒疫情比较严重的地区，在上半年的地区疫情排行榜中，这三个省市更是名列前三甲。其中，山东省以988354个染毒数量高居榜首。去年的冠军广东省退居第三位。 三、U盘成病毒传播主要途径 由于U盘本身不会防毒，病毒很容易就会感染U盘，而当U盘插入电脑时还会自动播放，病毒就会即刻被自动运行。加之U盘的广泛应用也为病毒的传播提供了温床，由于众多电脑用户通过接入U盘进行电脑数据互换时，没有先进行病毒扫描的习惯，病毒开始瞄准了这一空档藏身其中，“U盘寄生虫”病毒一出现就以高感染率常居病毒榜前三甲。 国内首例通过U盘传播的病毒出现在2003年。当年8月3日，江民科技反病毒中心宣布成功截获首例通过U盘传播的“不公平”(Worm/Unfair)病毒。“不公平”病毒是某大学学生为了抗议在学校实习报名过程中遭到的不公正待遇而编写，病毒运行后强行向A盘或U盘写入病毒体，与读写软盘发出声响不同，病毒写入U盘时悄无声息，悄悄潜伏，危害更大。U盘病毒的进一步传播从2006年上半年开始，由于其时U盘已经广泛应用，大部分电脑用户通过U盘进行数据互换，多数人在U盘插入电脑前没有进行病毒扫描，造成了U盘病毒的蔓延。进入2007年，“熊猫烧香”等重大病毒纷纷把U盘作为主要传播途径，越来越多的电脑用户因为不当使用U盘感染病毒，2007年U盘等移动存储设备已经成为计算机病毒传播的主要途径之一。 四、“ARP”类病毒未来发展新趋势 在局域网中， ARP协议对网络安全具有重要的意义，通过ARP协议来完成IP地址转换为MAC地址。这种病毒可通过伪造IP地址和MAC地址实现ARP欺骗，用伪造源MAC地址发送ARP响应包，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，就会造成网络中断或中间人攻击。 同时如果网页带毒，就会通过微软的MS06-14和MS07-17两个系统漏洞给电脑植入一个木马下载器，而该木马下载器会下载10多个恶性网游木马，可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏等在内的多款网络游戏帐号及密码，给网络游戏玩家造成了极大的损失。 目前，“ARP”欺骗技术正在被越来越多的病毒所使用，成为局域网安全的新杀手。

世界十大疾病病毒和网络病毒排行榜？

首先，十大病毒排行榜，排在首位的是CIH病毒。相信这个病毒大家都不陌生，1998年爆发以来，使全球N多人深受其害，遭受到的损失也无法估量。其作者相信大家也有耳闻——陈盈豪。在CIH病毒爆发的当年，他正就读于台湾大同工学院。

他为什么要制作这款病毒呢？在制作之前，他曾经在台一家杀毒软件公司购买了一款杀毒软件，会来用过之后，感觉非常臭屁。于是便制作了这款以自己名字首音为名的CIH病毒，初衷只是为了恶心恶心那家杀毒公司。但是没有想到宿舍同学在使用电脑时不幸感染，并且将其发布到Internet上供人下载，于是就出现了在整个网络爆发的局面。

面对上亿元的官司，陈坦言无力偿还，并且解释说CIH病毒的大面积扩散并非自己的本意。而且在发现病毒迅速扩散之后，立即发布了病毒的免疫和杀毒程序。当警方问及为什么而要选择将26日定为病毒发作日时，陈称26是他当时的学号。

再来看看排行第二的梅利莎病毒。这个病毒大家也都很熟悉了，是一种转杯破坏邮件系统的病毒。1999年3月29日，这个病毒可谓是当今世上唯一让英特尔公司和Microsoft公司措手不及的，为了减少损害，他们都被迫关闭了整个电子邮件系统。初步的损失估计在3亿到6亿美金。更牛的是，梅利莎病毒一经爆发，就惊动了美国FBI（联邦调查局）的深入调查。如此大动干戈，相比此病毒的制作人来头一定不小。但是，结果确实出乎所有人意料的。梅利莎病毒病毒的制作人竟然只是个10岁的孩童，而且经证实，这位孩童自1997年以来至少已经制造了3款可以迅速传播的病毒，这位孩童制作这种病毒的目的只是为了恶作剧。

排行第三的位I love You病毒。相信很多人都中了这招飞来艳福之计。这种病毒会自动向用户的电子邮箱发送一封名为I love You的电子邮件，想想，除了和尚谁不会中招？这款病毒的制作人是菲律宾AMA计算机学校的一名名叫Onel de Guzman的23岁学生。据说，当时制作这款病毒只是为了完成程序的毕业论文。经他自己介绍说：人们，特别是因特网用户，能够或许诸如因特网站好的Windows口令，这样他们无需付钱就能以更多的时间上网。在现在看来的确是非常诱人的，不过这是一种违法的行为。不过结果还好，这位学生已经称自己会金盆洗手，退出黑客行列。

红色代码病毒（Code Red）这个病毒所造成的损失真是不可估量，全球约26亿美元。传播于2001年7月13日，是用来攻击Web服务器的。遗憾的是，至今为止，这个病毒制造者也尚未找到。虽然美国FBI动用了很多人手在全球范围内搜索，但制造者异常狡猾，至今也未浮出水面。

SQL Slammer 病毒排行第五，自2003年1月25日爆发，全球共有50万台服务器遭受攻击，但造成的损失较小。SQL Slammer也被成为蓝宝石，在十分钟之内感染了7.5万太计算机，可想而知它有多么的厉害。跟红色代码一样，此病毒的制造者也没能找到。

冲击波病毒，排行第六。这种蠕虫病毒的危害性也是非常大的，给当时的互联网也造成了巨大的影响。这个病毒的制造者是一名美国的18岁男孩，至于制作这款病毒的初衷暂时还未了解到。之后又有一名名为杰弗里·帕森的美国青年将冲击波病毒改编成了“冲击波B”在网上散步，初衷不祥。

　同为2003年泛滥的病毒，名为大无极。是一种通过局域网来迅速传播的病毒，能够窃取用户隐私邮件。要说制作这个病毒作者可真是值钱了。盖茨曾经悬赏50万美元来悬赏通缉冲击波和大无极的病毒制作者。虽然冲击波病毒的制造者已经被警方逮捕，但是大无极病毒的制造者下落不明。冲击波和大无极两位牛仔哥们，让微软的腰包紧张损失了不少。不过，毕竟是全球首富，区区50万美元在他眼里也只不过是撒泡尿的功夫。不过话说回来，盖茨如果不出此招，恐怕提后难以服众啊。

贝革热病毒，这个病毒也是通过邮件系统来传播的，并且在系统下能够生成自动拷贝的修改注册表值。2004年爆发以来已经给全球造成了数千万美元的损失。至于病毒的制造者和初衷暂不清楚，不过大多都基于以下几种出发点：恶作剧，或者制造者用来显示自己的水平；报复心理，病毒制造者针对欲报复的对象编写恶意程序代码；用于特殊目的，比如为了取得他人电脑上的隐私，破坏他人的电脑系统等。

全世界排名前10位的计算机病毒?

NO.1 “CIH病毒”

爆发年限:1998年6月

CIH病毒（1998年）是一位名叫陈盈豪的台湾大学生所编写的，从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本。

损失估计：全球约5亿美元

NO.2 “梅利莎(Melissa)”

爆发年限:1999年3月

梅利莎（1999年）是通过微软的Outlook电子邮件软件，向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话：“这就是你请求的文档，不要给别人看”，此外夹带一个Word文档附件。而单击这个文件，就会使病毒感染主机并且重复自我复制。

1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。估计数字显示，这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft，下称微软)、以及其他许多使用Outlook软件的公司措手不及，防止损害，他们被迫关闭整个电子邮件系统。

损失估计：全球约3亿——6亿美元

NO.3 “爱虫(Iloveyou)”

爆发年限:2000年

爱虫（2000年）是通过Outlook电子邮件系统传播，邮件主题为“I Love You”，包含附件“Love-Letter-for-you.txt.vbs”。打开病毒附件后，该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本，阻塞邮件服务器，同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。

新“爱虫”（Vbs.Newlove）病毒同爱虫(Vbs.loveletter)病毒一样，通过outlook传播，打开病毒邮件附件您会观察到计算机的硬盘灯狂闪，系统速度显著变慢，计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下wscript.exe建立关联，进一步消耗系统资源，造成系统崩溃。

损失估计：全球超过100亿美元

NO.4 “红色代码(CodeRed)”

爆发年限:2001年7月

红色代码（2001年）是一种计算机蠕虫病毒，能够通过网络服务器和互联网进行传播。2001年7月13日，红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是，在此之前的六月中旬，微软曾经发布了一个补丁，来修补这个漏洞。

被它感染后，遭受攻击的主机所控制的网络站点上会显示这样的信息：“你好！欢迎光临www.worm.com！”。随后病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天，之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。不到一周感染了近40万台服务器，100万台计算机受到感染。

损失估计：全球约26亿美元

NO.5 “冲击波(Blaster)”

爆发年限:2003年夏季

冲击波（2003年）于2003年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后利用DCOM RPC缓冲区漏洞攻击该系统，一旦成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。

另外该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

损失估计：数百亿美元

NO.6 “巨无霸（Sobig)”

爆发年限:2003年8月

巨无霸（2003年）是通过局域网传播，查找局域网上的所有计算机，并试图将自身写入网上各计算机的启动目录中以进行自启动。该病毒一旦运行，在计算机联网的状态下，就会自动每隔两小时到某一指定网址下载病毒，同时它会查找电脑硬盘上所有邮件地址，向这些地址发送标题如："Re: Movies"、"Re: Sample"等字样的病毒邮件进行邮件传播，该病毒还会每隔两小时到指定网址下载病毒，并将用户的隐私发到指定的邮箱。

由于邮件内容的一部分是来自于被感染电脑中的资料，因此有可能泄漏用户的机密文件，特别是对利用局域网办公的企事业单位，最好使用网络版杀毒软件以防止重要资料被窃取！

损失估计：50亿——100亿美元

NO.7 “MyDoom”

爆发年限:2004年1月

MyDoom（2004年）是一例比“巨无霸病毒”更厉害的病毒体，在2004年1月26日爆发，在高峰时期，导致网络加载时间减慢50%以上。它会自动生成病毒文件，修改注册表，通过电子邮件进行传播，并且它还会尝试从多个URL下载并执行一个后门程序，如下载成功会将其保存在Windows文件夹中，名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机。

病毒使用自身的SMTP引擎向外发送带毒电子邮件，进行传播。病毒会从注册表的相关键值下和多种扩展名的文件中搜集邮件地址，病毒还会按照一些制定的规则自己声称邮件地址，并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。

损失估计：百亿美元

NO.8 “震荡波(Sasser)”

爆发年限:2004年4月

震荡波（2004年）于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失，也让所有人记住了04年的4月，该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播，我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件，会显示出谴责美国大兵的英文语句。

震荡波感染的系统包括Windows 2000、Windows Server 2003和Windows XP，病毒运行后会巧妙的将自身复制为%WinDir%napatch.exe，随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口9996。

损失估计：5亿——10亿美元

NO.9 “熊猫烧香(Nimaya)”

爆发年限:2006年

熊猫烧香（2006年）准确的说是在06年年底开始大规模爆发，以Worm.WhBoy.h为例，由Delphi工具编写，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，导致用户一打开这些网页文件，IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播，并且利用Windows系统的自动播放功能来运行。

“熊猫烧香”还可以修改注册表启动项，被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。

损失估计：上亿美元

NO.10 “网游大盗”

爆发年限:2007年

网游大盗（2007年）是一例专门盗取网络游戏帐号和密码的病毒，其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的“网游大盗”变种jws是“网游大盗”木马家族最新变种之一，采用VisualC++编写，并经过加壳处理。“网游大盗”变种jws运行后，会将自我复制到Windows目录下，自我注册为“Windows_Down”系统服务，实现开机自启。

该病毒会盗取包括“魔兽世界”、“完美世界”、“征途”、等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机一旦中毒，就可能导致游戏帐号、装备等丢失。在07年轰动一时，网游玩家提心吊胆。

损失估计：千万美元

世界最强的十大电脑病毒是什么？

一、勒索病毒事件

勒索病毒是一种源于美国国家安全局的计算机病毒。近100个国家已经招募，其中英国医疗系统瘫痪，大量患者无法就医。中国大学的内部网络也受到了感染。受影响机器的磁盘文件将被加密，只有在支付赎金后才能解密和恢复。勒索金额为5个比特币，分别相当于人民币5万元。根据最新报告，病毒勒索背后的黑客已经收到8.2个比特币。

二、“CIH病毒”事件

说到CIH病毒，它确实是中国人的一个荣誉，因为它是由一个叫陈盈豪的台湾大学生写的。与两大国际盗版集团一起销售的盗版光盘首先在欧洲和美国广泛传播，然后通过各种互联网网站相互转载，使其迅速传播。那时候这是一场大灾难。世界上无数的计算机硬盘上布满了垃圾数据。病毒甚至破坏了电脑的基本输入输出系统，最后连电脑都无法启动。在2001年和2002年，病毒复活了几次。它真的是一只不死蟑螂。

三、“梅利莎病毒”事件

1998年，大卫史密斯在Word软件中使用宏操作编写了一个计算机病毒。该病毒是通过微软Outlook传播的。史密斯把它命名为梅丽莎，一个舞者。一旦收件人打开邮件，病毒会自动复制并向50个朋友发送相同的邮件。史密斯把它放到互联网上后，病毒开始迅速传播。直到1999年3月，梅丽莎一直在世界各地报纸的头版。据当时统计，梅丽莎感染了世界上15%~20%的商用电脑。病毒的迅速传播使得美国联邦政府对此事非常重视。它还迫使Outlook暂停服务，直到病毒被清除。史密斯还被判入狱20个月，罚款5000美元。这也是第一个引起全世界关注的计算机病毒。

四、“冲击波病毒”事件

冲击波病毒是利用2003年7月21日宣布的RPC漏洞传播的。那年八月病毒爆发了。它会使系统运行异常，持续重启，甚至导致系统崩溃。此外，该病毒具有很强的自我防御能力。它还将对微软升级后的网站进行拒绝服务攻击，导致网站被封锁，用户无法通过网站升级系统。使计算机失去更新漏洞修补程序的能力。然而，病毒的制造者只是一个18岁的男孩，杰弗里李帕森，他最终被判处18个月的监禁。这种病毒的变种今天仍然存在。小心你做的事。

五、“爱虫病毒”事件

与梅丽莎相似，爱虫也通过Outlook电子邮件系统传播，但邮件主题已改为“我爱你”。打开病毒附件后，它会自动传播。这种病毒在很短的时间内攻击了世界上无数的计算机，而且它也是一种非常挑剔的病毒。它喜欢拥有高价值信息技术资源的计算机系统，如美国国家安全部、中央情报局、英国议会和其他政府机构、股票经纪人和著名的跨国公司。“爱虫”病毒是迄今发现的速度最快、传播最广的计算机病毒。

六、“震荡波病毒”事件

冲击波于2004年4月30日爆发，在短时间内给全世界造成了数千万美元的损失，并使每个人都记得2004年4月。一旦电脑被击中，它将莫名其妙地崩溃或重启。然而，在纯DOS环境下执行病毒文件会显示谴责美国士兵的英语句子。

七、“MyDoom病毒”事件

我的末日是一种通过电子邮件附件和P2P网络Kazaa传播的病毒。它于2004年1月28日爆发，导致网络负载时间在高峰期间慢了50%以上。它会自动生成病毒文件，修改注册表，并通过电子邮件传播。一家芬兰安全软件和服务公司甚至称其为病毒史上最糟糕的电子邮件蠕虫。据估计，病毒的传播占爆发当天全球电子邮件流量的20%至30%，全世界有40万至50万台计算机受到感染。

八、美国1.3亿张信用卡信息被盗事件

从2006年10月到2008年1月，28岁的美国迈阿密人冈萨雷斯(Gonzalez)利用黑客技术突破计算机防火墙，侵入五大公司的计算机系统，窃取了约1.3亿张信用卡和借记卡的账户信息。这导致了迄今为止美国司法部起诉的最大的身份盗窃案，并直接导致支付服务巨头哈特兰向维萨、万事达、美国运通和其他信用卡公司支付超过1.1亿美元的相关赔偿。2010年3月，冈萨雷斯被判处两项并行的20年刑期，这是美国历史上对计算机犯罪的最长刑期。因为这一事件，冈萨雷斯被称为美国历史上最大的黑客。

九、索尼影业遭袭事件

2014年11月24日，黑客组织“和平卫士”发布了索尼电影公司员工的电子邮件，内容包括公司高管薪酬和索尼不发布电影拷贝。据估计，这一行动与即将上映的电影《采访》有关。尽管索尼电影公司最终决定取消这部电影的发行。然而，在攻击发生几个月后，它的影响继续发酵，频繁的计算机故障和电子邮件冻结。艾米帕斯卡，该公司的联合主席，被迫辞职，因为许多电影明星和社会各界名人的参与。这不是索尼第一次被黑客攻击。2011年，索尼PSN网络上数百万用户的信息被盗。索尼影业经常受到黑客的攻击。除了树的受欢迎程度之外，据估计这与它的低劣质量有关。

十、“熊猫烧香病毒”事件

你为什么把熊猫烧香病毒放在最后？因为边肖最了解熊猫烧香病毒。我相信从2006年到2007年初，玩电脑的人会记得一种叫做“熊猫烧香”的病毒。2007年1月初，它开始在互联网上肆虐。它主要是通过下载的文件传输的。受感染的机器文件间接对其他计算机程序和系统造成严重损害，因为它们被错误地携带。在短短两个多月的时间里，病毒继续入侵个人电脑，给数百万个人用户、网吧和企业局域网用户造成了不可估量的损失，被《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》评为“毒王”。然而，熊猫烧香只是为了炫耀他们的技能，而不是像bitvirus一样要钱。2007年9月24日，“烧香熊猫”案一审宣判，主犯李俊被判处有期徒刑4年。

世界最强电脑病毒排名！

史上破坏力最强十大计算机病毒排名计算机病毒, 破坏力, 排名 随着网络在现代生活中的重要性越来越突出，曾经被人们一手掌控的计算机病毒也逐渐从温驯的小猫成长为噬人的猛虎。从1986年，“Brain”病毒通过5.25英寸软盘首次大规模感染计算机起，人们与计算机病毒的斗争就从未停止过。如今，整整20年过去了，这场持久的拉锯战却似乎只是开了个头。 美国《Techweb》网站日前评出了20年来，破坏力最大的10种计算机病毒：

1. CIH (1998年)

该计算机病毒属于W32家族，感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性，可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX)，其后果是使用户的计算机无法启动，唯一的解决方法是替换系统原有的芯片（chip），该计算机病毒于4月26日发作，它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。

CIH可利用所有可能的途径进行传播：软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾，在全球范围内造成了2000万-8000万美元的损失。

2.梅利莎（Melissa,1999年）

这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件，它隐藏在一个Word97格式的文件里，以附件的方式通过电子邮件传播，善于侵袭装有Word97或Word2000的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置，使它感染的文件所具有的宏病毒预警功能丧失作用。

在发现Melissa病毒后短短的数小时内，该病毒即通过因特网在全球传染数百万台计算机和数万台服务器， 因特网在许多地方瘫痪。1999年3月26日爆发，感染了15%-20%的商业PC，给全球带来了3亿-6亿美元的损失。

3. I love you (2000年)

2000年5月3日爆发于中国香港，是一个用VBScript编写，可通过E-Mail散布的病毒，而受感染的电脑平台以Win95/98/2000为主。给全球带来100亿-150亿美元的损失。

4. 红色代码 (Code Red，2001年)

该病毒能够迅速传播，并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器，遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据，最终导致网站瘫痪。其造成的破坏主要是涂改网页，有迹象表明，这种蠕虫有修改文件的能力。2001年7月13日爆发，给全球带来26亿美元损失。

5. SQL Slammer (2003年)

该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发，全球共有50万台服务器被攻击，但造成但经济损失较小。 6.冲击波（Blaster，2003年)

该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。2003年夏爆发，数十万台计算机被感染，给全球造成20亿-100亿美元损失。

7. 大无极.F（Sobig.F，2003年)

Sobig.f是一个利用互联网进行传播的病毒，当其程序被执行时，它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后，Sobig.f病毒将自己以附件的方式通过电子邮件发给它从被感染电脑中找到的所有邮件地址，它使用自身的SMTP引擎来设置所发出的信息。此蠕虫病毒在被感染系统中的目录为C：＼WINNT＼WINPPR32.EXE。2003年8月19日爆发，为此前Sobig变种，给全球带来50亿-100亿美元损失。

8. 贝革热（Bagle，2004年)

该病毒通过电子邮件进行传播，运行后，在系统目录下生成自身的拷贝，修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发，给全球带来数千万美元损失。

9. MyDoom (2004年)

MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后，病毒就会以用户信箱内的电子邮件地址为目标，伪造邮件的源地址，向外发送大量带有病毒附件的电子邮件，同时在用户主机上留下可以上载并执行任意代码的后门（TCP 3127

到3198范围内）。2004年1月26日爆发，在高峰时期，导致网络加载时间慢50%以上。

10. Sasser (2004年)

该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞（ MS04-011漏洞信息）进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描，因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发，给全球带来数千万美元损失。

历史上最厉害的木马病毒有哪些

一、网络公牛。 网络公牛又名Netbull，是国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽，危害很大。同时，服务端运行后会自动捆绑以下文件: win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe。 winnt/2000下：（在2000下会出现文件改动报警，但也不能阻止以下文件的捆绑）notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe；winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件（如：realplay.exe、QQ、ICQ等）。在注册表中网络公牛也悄悄地扎下了根，如下： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。 清除方法： 1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。 3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－附件－系统工具－系统信息－工具－系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。 二、网络神偷（Nethief） 网络神偷又名Nethief，是第一个反弹端口型木马！ 什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址：1026 客户端的IP地址：80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向外连接80端口吧， 嘿嘿。最新线报：目前国内木马高手正在大规模试验（使用）该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！ 清除方法： 1、网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK，神偷完蛋了！ 三、WAY2.4（火凤凰、无赖小子） WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！ 清除方法： 要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！ 注意：在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载，sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 清除方法： 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！ 该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。 清除方法： 1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它。 2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”。 3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？ 哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！ Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！ 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！ 清除方法： 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！ 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。 好了，可以和聪明基因说“再见”了！ 七、黑洞2001 黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。 黑洞2001服务端被执行后，会在C:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件在机器开机时立刻运行，并打开默认端口2001，S_Server.exe文件用来和TXT文件打开方式连起来（即关联）！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！ 清除方法： 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy（网络精灵） Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。 清除方法： 1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！ 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\，删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2（默认连接端口27374），服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。 清除方法： 1、打开注册表Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="C:\windows\system\***"。注：加载器和文件名是随意改变的。 2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。 3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。 4、重新启动Windows，删除相对应的木马程序，一般在C:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。