黑客生成木马病毒下载(黑客生成木马病毒下载软件)
本文目录一览:
- 1、木马virus.bat.self.gen,请问这是什么类型的木马病毒?会对电脑产生什么影响?求高手
- 2、Trojan.win32.generic.12668913 是什么病毒
- 3、介绍些下载软件的网站
- 4、大家好请问这是什么病毒Trojan/Win32/wacatac.b!ml?
- 5、急~我中了很厉害的病毒~解决了愿意送上所有分
- 6、下载东西老提示是病毒,怎样识别哪些是木马病毒?
木马virus.bat.self.gen,请问这是什么类型的木马病毒?会对电脑产生什么影响?求高手
您好:
virus.bat.self.gen是一种蠕虫类木马病毒,中了这种木马病毒的电脑很有可能会遭到黑客的远程监控和面临账号密码被盗的风险,为了您电脑的安全,建议您使用最新版的腾讯电脑管家的杀毒功能为您的电脑杀毒吧,杀完毒以后重启下您的电脑就可以恢复正常了,您可以点击这里下载最新版的腾讯电脑管家:腾讯电脑管家下载
腾讯电脑管家企业平台:
Trojan.win32.generic.12668913 是什么病毒
互联网上的“热门”木马病毒排名。
下表显示了中国地区在2009年1月期间,互联网上木马病毒的活跃情况。表中所列的都是最常遇到的恶意程序。这些恶意程序会在用户上网的同时给用户带来危害。
(下表中的数据根据卡巴斯基产品检测情况统计得出)
Name of Malware %
1. Trojan-GameThief.Win32.Magania.gen 13.41
2. Trojan-GameThief.Win32.OnLineGames.ufmu 6.54
3. Exploit.Win32.IMG-WMF.fx 5.50
4. Worm.Win32.Downloader.yq 3.22
5. Worm.Win32.Downloader.yv 3.13
6. Trojan-Dropper.Win32.MultiJoiner.13.y 2.51
7. Worm.Win32.Downloader.yw 2.43
8. HEUR:Trojan.Win32.Generic 2.09
9. HEUR:Trojan-Downloader.Win32.Generic 2.07
10. Heur.Win32.Trojan.Generic 1.97
11. not-a-virus:AdWare.Win32.BHO.fay 1.90
12. Worm.Win32.Downloader.zd 1.52
13. Trojan-GameThief.Win32.Agent.w 1.42
14. HEUR:Trojan.Win32.Invader 1.38
15. Trojan-GameThief.Win32.OnLineGames.bknq 1.34
16. Trojan-GameThief.Win32.OnLineGames.ubok 1.26
17. HEUR:Trojan.Win32.StartPage 1.22
18. Trojan-Downloader.Win32.Small.dfl 1.18
19. Trojan.Win32.Pakes.lmb 1.09
20. Trojan-GameThief.Win32.OnLineGames.ubga 1.01
排名第一的恶意程序是恶意程序家族:Trojan-GameThief.Win32.Magania.gen。11月时它位居排行榜的第二位,这个月它又增加了半个百分点,成为了头号“恶霸”。
这个恶意程序家族是一类流行的恶意程序——Trojan-GameThief的代表。从木马的名称可以看出,它们会窃取用户的网络游戏账号密码等信息。2009年1月份,此类木马独占了所有恶意程序总量的25%。而在排行榜中位列第2、13、15、16以及第20位的盗号木马也是此类恶意程序的代表。值得注意的是,此类盗号木马的信息盗窃行为都是针对中国流行网络游戏用户的。所以,喜爱网络游戏的计算机用户要格外注意反病毒安全的问题。
Exploit.Win32.IMG-WMF.fx,这个在上个月的排行榜中位居第三位的恶意程序,这次以5.5%的“流行度”再次中取了排行榜的探花。在上月的报告中我们已经介绍了这个恶意程序。这里,卡巴斯基实验室再一次地提醒用户们一定要针对此漏洞进行更新。关于此漏洞的更详细的信息可以在这里找到: 。同时需要注意的是,这个exploit有许多变种,如何利用漏洞那就看病毒作者的想象力和创造力了。Exploit.Win32.IMG-WMF.fx这个变种会在系统中安装rootkit。
在本月的报告中还有一类需要注意的恶意程序家族:Worm.Win32.Downloader。此家族的不同代表占据了排行榜的第4、5、7和12 位。尽管这种恶意程序最初出现在大约一年以前,但它们只在这个月才“榜上有名”,而且一下子就占到了10%左右的百分比。而所有此家族的代表都发源于同一恶意程序,不同变种间的区别只在于下载链接地址和恶意程序在系统中的文件名的不同。它们的共同点就是会在系统目录下生成随机名的dll文件,这个dll会被注入到系统进程中。
此外,还要指出的是,大约30%的恶意程序都是用启发式分析检测到的。对于用户来说,这就意味着卡巴斯基实验室的反病毒软件可以检测到大多数的未知恶意程序。
2、网络攻击排行:
大多数用户对于网络安全问题都不太了解,这是可以理解的,因为甚至很多从事与计算机相关职业的、有经验的用户也都很难了解安全问题的所有细节。也许,会有一些用户觉得这份报告有些地方非常难于理解。虽然我们会尽量使它简明易懂,但如果你仍有不明白的地方,请查阅相关资料。
现在的计算机安全世界纷繁复杂。普通用户的计算机总是面临着大量的攻击与威胁。要对抗这种多样性的威胁,当今的反病毒软件自身应该包含多种模块,以便在不同层面为用户提供保护。现如今,网络连接已经是工作中不可或缺的必要条件,因而保护计算机系统免受网络攻击是至关重要的。下面就让我们来看一下在 2009年1月期间最为常见的网络攻击。
Name of Attack Number of Atttack
1. DoS.Generic.SYNFlood 4759410
2. Intrusion.Win.MSSQL.worm.Helkern 964297
3. Intrusion.Win.NETAPI.buffer-overflow.exploit 152898
4. Scan.Generic.UDP 101639
5. Intrusion.Generic.TCP.Flags.Bad.Combine.attack 30354
6. Intrusion.Win.DCOM.exploit 25565
7. Intrusion.Win.LSASS.exploit 5203
8. Scan.Generic.TCP 3030
9. Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1584
10. Intrusion.Win.Messenger.exploit 1525
11. DoS.Win.IGMP.Host-Membership-Query.exploit 1066
12. Intrusion.Win.LSASS.ASN1-kill-bill.exploit 1007
13. Intrusion.Unix.Fenc.buffer-overflow.exploit 391
14. DoS.Generic.ICMPFlood 357
15. Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 291
16. Intrusion.Win.W3Filer.buffer-overflow.exploit 169
17. Intrusion.Win.EasyAddressWebServer.format-string.exploit 138
18. Intrusion.Win.MSSQL.preauth.buffer-overflow.exploit 110
19. Intrusion.Win.WINS.heap-overflow.exploit 77
20. Intrusion.Unix.AtpHttpd.buffer-overflow.exploit 50
占据头名位置的以洪水般发送各种syn数据包的DoS攻击。这类攻击会导致网络瘫痪。如果具有某种特征的数据包多得超过一定数量就会发生此类报告。有时,某些正常程序也会有类似的网络行为,这时则需要进一步分析原因。
第二位是Intrusion.Win.MSSQL.worm.Helkern攻击。这种攻击针对的是MS SQL的1434端口上的服务。蠕虫病毒Slammer也会进行此类攻击。
第三位是Intrusion.Win.NETAPI.buffer-overflow.exploit。
一般来说,收到这种提示时说明在局域网中存在着恶意程序,比如说蠕虫病毒Net-Worm.Win32.Kido。这种蠕虫利用了微软的 MS08-067漏洞。尽管针对这个漏洞的更新已经发布了很久,但还是有越来越多的用户机器被这种蠕虫感染。卡巴斯基实验室建议大家安装微软的更新补丁。这种蠕虫会作为服务启动,并使自己在磁盘上隐藏起来。所以,用户很难在机器上找到这个病毒。而要在磁盘上找到这个二进制文件就必须从其它介质上启动系统,比如从光盘启动系统并进行扫描。
这个例子很好地说明了在复杂的安全问题下卡巴斯基的反病毒产品的优势。蠕虫病毒有时可以隐藏起来不被反病毒扫描器扫描到,但是它的网络活动却可以被网络模块检测到。正因为如此,卡巴斯基可以成功地对抗这种恶意程序。
另一种网络攻击Scan.Generic.UDP并不能明确地指示出网络中存在哪种恶意程序。对这种网络活动的产生原因还需要更详细的分析。需要注意被扫描的端口、攻击源IP地址以及攻击的间隔。也可能这只是一次性的扫描,也不用太过于不安。但如果这种攻击是周期反复性的,那就要引起特别的注意并采取措施,不仅要研究扫描端口列表,查看并关闭未使用的服务,还要及时地为系统打补丁。端口扫描都是网络攻击的第一步,因而需要提前做好准备。
位居第五的网络攻击是Intrusion.Generic.TCP.Flags.Bad.Combine.attack。一般来说,如果在网络数据包中使用了不正确的标志组合都会给出这种提示。这种不正确的标志组合是一种异常情况,需要进一步详细地分析原因。有可能只是虚惊一场,但也有很大概率是恶意行为。
一般而言,所有这些攻击可以分为:扫描攻击、拒绝服务式攻击和exploit攻击。如果系统中没有启动含有漏洞的服务,那么扫描攻击不会产生什么危害。而拒绝服务式攻击和exploit攻击通常都是由恶意程序产生的,值得引起更多的关注。
我们得到的另外一个结论是,大多数攻击都是针对Win32平台的,在排行榜里只有两种攻击是针对Unix的,即 Intrusion.Unix.Fenc.buffer-overflow.exploit和 Intrusion.Unix.AtpHttpd.buffer-overflow.exploit.当然,这并不能用来证明哪种平台更安全,这只是因为大多数桌面用户使用的都是Win32平台。
我们还要再次提醒您:尽管卡巴斯基的IDS入侵检测系统提示您有人试图攻击您的计算机并被成功阻止,您也要为您的软件安装好最新的更新程序,并及时更新病毒库。
3、恶意程序排行:
根据卡巴斯基安全网络(KSN)2009年1月份收集的数据,我们整理并列出两个恶意程序排行榜,每个榜单罗列出了活跃度排名前20 位的恶意程序。
第一个排行榜是根据卡巴斯基实验室2009的反病毒产品收集到的数据整理出的排名前20位的恶意程序榜单,包含了在用户计算机上发现的恶意程序、广告软件以及其他潜在的不良程序的详细信息。
排名 排名变化 恶意程序名称
1. 0 Virus.Win32.Sality.aa
2. 0 Packed.Win32.Krap.b
3. 1 Worm.Win32.AutoRun.dui
4. -1 Trojan-Downloader.Win32.VB.eql
5. 3 Trojan.Win32.Autoit.ci
6. 0 Trojan-Downloader.WMA.GetCodec.c
7. 2 Packed.Win32.Black.a
8. -1 Virus.Win32.Alman.b
9. 5 Trojan.Win32.Obfuscated.gen
10. 10 Trojan-Downloader.WMA.GetCodec.r
11. 新上榜 Exploit.JS.Agent.aak
12. -1 Worm.Win32.Mabezat.b
13. -3 Worm.Win32.AutoIt.ar
14. 1 Email-Worm.Win32.Brontok.q
15. 新上榜 Virus.Win32.Sality.z
16. 新上榜 Net-Worm.Win32.Kido.ih
17. 重新上榜 Trojan-Downloader.WMA.Wimad.n
18. -2 Virus.Win32.VB.bu
19. -2 Trojan.Win32.Agent.abt
20. 新上榜 Worm.Win32.AutoRun.vnq
排行榜一
2009年的第1个月,以上榜单的排名没有大的变化。只是Exploit.JS.Agent.aak取代了于去年12月上榜的 Trojan.HTML.Agent.ai和Trojan-Downloader.JS.Agent.czm。而AutoRun.eee worm则从本月的榜单中消失,取而代之的是Worm.Win32.AutoRun.vnq。这一点并不奇怪,因为对于此类恶意程序,频繁的更改正是其特点。
值得注意的是,去年12月消失于榜单中的Trojan-Downloader.WMA.Wimad.n,本月又重新上榜。这是由于榜单中的三个非典型的恶意下载程序的大范围传播以及用户对于多媒体文件的信任态度。Trojan-Downloader.WMA.GetCodec.r在榜单中急速上升,其排名已经位于第十位,恰恰证实了我们在上个月的前20名恶意程序报告中提到的对恶意程序传播方式的判断,即恶意程序利用点对点网络以及多媒体文件下载程序进行传播的方式是非常有效的。
同时Sality.aa仍高居榜首,而且Sality.z也加入到前20名,使得Sality家族成为最近转播最为广泛,最为危险的恶意程序。
而利用微软Windows重大漏洞进行传播的臭名昭著的Kido家族的网络蠕虫仍然出现在榜单上。但考虑到当前的蠕虫感染疫情,该蠕虫的传播方式以及有潜在威胁的计算机的数量,kido蠕虫的变种出现在本月的榜单上并不奇怪。
木马– 35%
病毒– 50%
恶意程序– 15%
第一个排行榜中的所有恶意程序、广告软件以及其他潜在的不良程序都可以根据我们检测到的威胁类别进行分类。总体来说,自我复制程序的数量再一次超过了木马程序。
1月份,卡巴斯基实验室在用户计算机上共检测到46014中恶意程序、广告软件以及其他潜在的不良程序。值得注意的是前一段的假期期间,“自然状态”发现的威胁数量并没有下降,相反在12月于“自然状态”中截获的样本数量(38190)要比平时还多7800个。
下面,让我们一起来关注第二个排行榜。在 第二个排行榜中,排名在前20位的是在用户的计算机中发现的最容易感染文件的恶意程序。感染文件的恶意程序在该榜单中占大多数。
排名 排名变化 恶意程序名称
1. 0 Virus.Win32.Sality.aa
2. 0 Worm.Win32.Mabezat.b
3. 2 Net-Worm.Win32.Nimda
4. -1 Virus.Win32.Xorer.du
5. 1 Virus.Win32.Alman.b
6. 3 Virus.Win32.Sality.z
7. 0 Virus.Win32.Parite.b
8. 2 Virus.Win32.Virut.q
9. -5 Trojan-Downloader.HTML.Agent.ml
10. -2 Virus.Win32.Virut.n
11. 1 Email-Worm.Win32.Runouce.b
12. 1 Worm.Win32.Otwycal.g
13. 1 P2P-Worm.Win32.Bacteraloh.h
14. 4 Virus.Win32.Hidrag.a
15. 5 Virus.Win32.Small.l
16. -5 Virus.Win32.Parite.a
17. 重新上榜 Worm.Win32.Fujack.bd
18. 新上榜 P2P-Worm.Win32.Deecee.a
19. -4 Trojan.Win32.Obfuscated.gen
20. 新上榜 Virus.Win32.Sality.y
排行榜二
Sality.z是Virus.Win32.Sality家族中最新进入前20名榜单的恶意程序。Sality.y出现在第二个榜单中,进一步说明了该自我复制程序家族的高活跃性。有趣的是第二个排行榜中新上榜的P2P-Worm.Win32.Deecee.a.。该蠕虫通过DC++点对点网络传播,能够下载其他恶意程序。它能够在这张榜单中占有一席之地,并不是因为其感染的计算机数量多,而是由于其在每台感染的计算机上的备份数量。在该蠕虫感染用户计算机时,它会复制自己很多次,一旦感染,该蠕虫会公开复制自己。而其自我复制产生的可执行文件都会遵循一定的模式:其前缀为“(CRACK)”, “(PATCH)”,文件名为流行的应用软件名称如“ADOBE ILLUSTRATOR (All Versions)”, “GTA SAN ANDREAS ACTION 1 DVD”等。而于去年11月重回榜单的Worm.VBS.Headtail.a此次又消失了,延续了其在2008年年底的不稳定表现。
介绍些下载软件的网站
51CT资源下载站
BT联盟搜索引擎
Globe7-全球最好的网络电话,通话音质清晰,话费全球最低
MSN.com
华军软件园——共享软件发布-下载-学习-研究-交流之园(推荐用1024768)
各类笔记本驱动(中关村在线)
多特软件站 绿色软件下载 四种杀毒软件检测
天空软件站:提供国内外最新免费软件、共享软件下载!
奇兵软件
小猫下载站
小路工作室系统下载
游戏380-专业的flash游戏网
狂人之家 -QQ狂人DIY版官方站
红软基地
软件下载 - 天网安全阵线
金电下载
霏凡软件
驱动之家
驽兽下载站 - 常用软件下载
驽兽下载站
黑客工具软件下载 -- 黑客315,黑★客③①⑤,黑客软件,黑客动画,黑客教程,黑客新闻,黑客动态,黑客攻击,黑客安全,溢出漏洞,木马病毒,QQ木马,QQ盗号,防火墙
大家好请问这是什么病毒Trojan/Win32/wacatac.b!ml?
Trojan/Win32/wacatac.b!ml这是木马病毒;
木马病毒作为隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中;
一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
扩展资料:
木马病毒可以发作的必要条件是客户端和服务端必须建立起网络通信,这种通信是基于IP地址和端口号的。藏匿在服务端的木马程序一旦被触发执行,就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号,在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。
运行在服务端的木马程序首先隐匿自己的行踪,伪装成合法的通信程序,然后采用修改系统注册表的方法设置触发条件,保证自己可以被执行,并且可以不断监视注册表中的相关内容。发现自己的注册表被删除或被修改,可以自动修复。
急~我中了很厉害的病毒~解决了愿意送上所有分
这是被镜像劫持了。病毒通过修改注册表来屏蔽对手的软件及网站。只要相关杀软的网络IP被列入注册表被禁止项就无法打开该网站。(一打开就自动关闭)把相关的注册表项删掉后杀毒就好了。具体如Image File Execution Options (IFEO in short)劫持
一、典型症状:双击某些可执行程序无法正常执行(或者说执行了没看到预期的结果)但改一个名字就可以。
二、典型案例:OSO.exe新变种60{.exe 美女游戏.pif (转载如下)
============================= 转载Start================================
OSO.exe 新变种
这是OSO.exe,美女游戏.pif,重要资料.exe的又一个新变种,以前截获的样本名为Worm.Pabug.ck ,这次由用户上报的病毒瑞星,金山均没有命名,但在病毒行为上大同小异。以下是具体分析:
此样本于2007年02月01日截获,跟上次的变种一样是采用记事本的图标,是一类IFEO映象劫持病毒。(变种不同这处用红色加粗标识)
病毒行为分析:病毒运行后,会不断打开run time error的消息提示,直到系统资源耗尽,当然用任务管理器,结束error窗口可暂时减少提示的生成。生成文件如下:(以系统盘为C盘,XP SP2为例)oso.exe的分析:生成文件:C:\WINDOWS\system32\drivers\60{.exe 38,510
C:\WINDOWS\system32\drivers\conime.exe 38,510
C:\WINDOWS\system32\severe.exe 38510
C:\WINDOWS\system32\.exe 38510
C:\WINDOWS\system32\.dll 38400C:\WINDOWS\system32\hx1.dat 生成运行后自删除 C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节 修改HOSTS文件,屏避对手的网站:127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1
127.0.0.1
127.0.0.1 tool.ikaka.com
127.0.0.1
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
X:\autorun.inf (X在此指非系统盘,不包括移动设备)
X:\oso.exe (X在此指非系统盘,不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif 注册表修改情况:添加自启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
60{
C:\WINDOWS\system32\.exe---------------------HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
@ ---默认项
C:\WINDOWS\system32\severe.exe被映象劫持的软件名列表(这次被劫持和软件名多了NOD32杀毒软件和EGHOST) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\WINDOWS\system32\drivers\60{.exe 都是指向此项,以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
用一个批处理hx1.dat修改系统时间为2004-1-22 使防病毒软件失效 由于此病毒修改的内容较多手动修复相当麻烦,U盘病毒专杀工具USBCleaner可彻底清除此病毒。此版本已在之官方网站发布,欢迎下载使用! 永久转向域名:友情提示:U盘病毒专杀工具USBCleaner 为免费绿色的查杀U盘类病毒木马的小工具
============================= 转载End================================
三、解决方法:
可以手动删除添加的非法 IFEO 劫持项目,重启后即可。
具体方法:
1、进入系统目录。例如 C:\windows
2、找到 regedit.exe ,复制,粘贴 ,运行“附件 regedit.exe”
3、按上面说的方法删除相应的被劫持项目即可。
四、提示:
防止Image File Execution Options hijack(映象劫持)的方法是通过在SSM等行为防火墙中添加一条注册表的监控规则(如下图)来防御,具体可google ,或点此此处链接。
下:
下载东西老提示是病毒,怎样识别哪些是木马病毒?
1.伪装成图片文件。这是黑客常用来骗别人执行木马的方法。将木马说成为图像文件,比如说是照片,只要入侵者扮成美眉及更改服务端程序的文件名为“类似”图像文件的名称,然后再假装传送照片给受害者,一般情况下受害者就会立刻执行它,致使电脑系统感染木马。
2.伪装成应用程序扩展组件。这类扩展组件的木马最难识别。黑客通常将木马程序写成各种类型的文件,然后挂到一个出名软件的安装目录中,由于软件本身很出名,所以通常不会有人怀疑它的安全性,更不会检查它的文件是否多了,当运行这个软件的时候,木马也会同时运行。
3.逆名木马伪装成JPG 、TXT文件。木马作者通过技术手段,使得文件名逆向显示为:扩展名+文件名(exe.txt),让木马文件名看上去跟记事本文件完全一样,即使是经验丰富的IT技术人员也会很容易被该木马欺骗。
4.利用你的惯性点击心理,伪装成文件夹。把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。
5.邮件冒名欺骗。该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发带木马附件的邮件,只要下载附件并打开的话就中木马了。
6.伪装成RAR等压缩文件。木马作者会将木马和一个热门的资源(比如写真照片)捆绑成一个自解压包文件,同时文件图标会更换成为RAR图标,由于图片相似度极高,用户很容易就误操作,同时,为了防止被用户识破木马,作者还会修改rar等压缩包的关键数据结构,这样一来用户很难通过解压的方式来辨别文件中是否包含木马。
