Trojan/Rootkit.o 是什么病毒,有什么危害?
\u75c5\u6bd2Trojan.Rootkit.Vanti.ch\u6709\u4f55\u5371\u5bb3\uff1f\u6728\u9a6c,\u5389\u5bb3\u4e86\u8ba9\u4f60\u7684\u7cfb\u7edf\u5d29\u6e83
\u6740\u6bd2\u5c31\u7528\u5361\u5df4\u6700\u65b0\u7248\u672c\uff1ahttp://www.orsoon.com/Software/catalog179/5385.html (KEY\u52302007\u5e74\uff0c\u4e0b\u8f7d\u540e\uff0cKEY\u5c31\u5728\u91cc\u9762)
\u8981\u4e0b\u8f7d\u65f6\u770b\u6e05\u695a\uff0c\u4e0b\u8f7d\u5730\u5740\u662f\u90a3\u4e2a\u201c\u672c\u5730\u8fde\u63a51\u201d\uff0c\u4e0d\u662f\u90a3\u4e2a\u201c\u7535\u4fe1\u7528\u6237\u4e0b\u8f7d\u201d\u201c\u7f51\u901a\u7528\u6237\u4e0b\u8f7d\u201d\u522b\u641e\u9519\u4e86\uff01\uff01\uff01\uff01\uff01
\u4e0b\u8f7d\u8f6f\u4ef6\u65f6\uff0c\u4e0d\u8981\u76f4\u63a5\u70b9\u51fb\uff0c\u800c\u662f\u70b9\u51fb\u53f3\u952e\u7684\u201c\u4f7f\u7528\u8fc5\u96f7\u4e0b\u8f7d\u201d
\u5361\u5df4\u4e16\u754c\u7b2c\u4e00\u7684\u91d1\u5b57\u62db\u724c\u5c3d\u4eba\u7686\u77e5\uff01\u57282005\u5e74\u7684\u8bc4\u6d4b\u4e2d\uff0c\u5361\u5df4\u6392\u540d\u4f9d\u7136\u662f\u7b2c\u4e00\uff01\uff01\uff01
1. Kaspersky Personal Pro version 5.0.20 - 99.28%
2. AVK version 15.0.5 - 97.93%
3. F-Secure 2005 version 5.10.450 - 97.55%
4. eScan Virus Control version 2.6.518.8 - 96.75%
5. Norton Corporate version 9.0.3.1000 - 91.64%
6. Norton Professional version 2005 - 91.57%
7. McAfee version 9.0.10 - 89.75%
8. Virus Chaser version 5.0 - 88.31%
9. BitDefender version 8.0.137 - 88.13%
10. CyberScrub version 1.0 - 87.87%
11. Panda Platinum 2005 version 9.01.02 - 87.75%
12. Arcavir - 87.73%
13. MKS_VIR 2005 - 87.70%
14. RAV version 8.6.105 - 87.26%
15. F-Prot version 3.16b - 87.07%
16. Panda Titanium version 4.01.02 - 86.27%
17. PC-Cillin 2005 version 12.1.1034 - 85.98%
18. Nod32 version 2.12.4 - 85.66%
19. Command version 4.92.7 - 84.92%
20. AntiVir version 6.30.00.17 - 84.50%
21. Avast version 4.6.623 - 79.65%
22. Dr. Web version 4.32b - 78.71%
23. Sophos Sweep version 3.91 - 73.79%
24. UNA version 1.83 - 73.49%
25. BullGuard version 4.5 - 70.24%
26. Norman version 5.80.05 - 65.32%
27. Ikarus version 5.16 - 60.97%
28. AVG version 7.0.308 - 54.07%
29. E-Trust version 7.0.5.3 - 52.35%
30. ZoneAlarm with VET Antivirus version 5.5.062.011 - 52.32%
31. Vexira 2005 version 5.0.56 - 51.74%
32. VirusBuster 2005 version 5.0.147 - 51.51%
33. Solo 3.0 version 2.7.1 - 49.16%
34. Fire version 2.7 - 48.86%
35. ClamWin version 0.83 - 48.44%
36. Digital Patrol version 5.00.08 - 48.10%
37. V-Buster Pro - 46.33%
38. Protector Plus version 7.2.G01 - 45.81%
39. V3Pro 2004 - 38.87%
40. Ewido version 3.0 - 38.67%
41. ViRobot Expert version 4.0 - 38.10%
42. Quick Heal version 7.03 - 37.75%
43. VirScan Plus version 14.703 - 36.20%
44. MR2S version 2.0.104 - 35.05%
45. RHBVS version 4.60.821 - 32.96%
46. A Squared 2 version 1.6 - 25.37%
47. VirIT version 5.2.10 - 22.83%
48. TDS version 3.2.0 - 21.09%
49. Wave version 2.0 - 16.49%
50. AntiTrojan Shield version 1.4.0.15 - 11.91%
51. PC Door Guard version 3.0.0.15- 11.91%
52. Trojan Hunter version 4.2.908 - 10.19%
53. Tauscan version 1.70.1414 - 6.99%
54. Trojan Remover version 6.3.6 - 6.67%
55. The Cleaner version 4.1.42.52 - 6.28%
56. IP Armor version 5.46.0703 - 2.77%
57. Hacker Eliminator version 1.2 - 2.67%
58. Anti-Hacker & Trojan Expert 2003 version 1.6 - 0%
\u6728\u9a6c\u7528ewido,\uff08\u8fd9\u662f\u76ee\u524d\u6700\u6709\u6548\u6700\u5f3a\u5927\u7684\u53cd\u6728\u9a6c\u5de5\u5177\uff0c\u73a9\u9a6c\u8005\u7684\u514b\u661f\uff0c\uff09
\u8fd9\u662f\u7eff\u8272\u7248\uff0c\u7f51\u7ad9\u91cc\u9762\u4e5f\u6709\u5b89\u88c5\u7248\uff0c\u968f\u4f60\u9009\u62e9
http://www.orsoon.com/Software/catalog184/2727.html
\u6ce8\u518c\u7801\uff1a 6617-EBE8-D1FD-FEA2
"
"\u66f4\u65b0\u65f6\u4f1a\u51fa\u73b0"\u7528\u6237\u540d\u8fc7\u671f...."\u5b57\u6837,\u522b\u7ba1\u5b83,\u518d\u70b9\u51fb\u4e00\u6b21\u5c31\u884c\u4e86,\u8bb0\u5f97\u70b9\u4e24\u6b21"
\u8f93\u5165\u6ce8\u518c\u7801\u540e\u63a5\u7740\u5173\u6389\u81ea\u52a8\u66f4\u65b0\uff0c\u6bcf\u6b21\u5347\u7ea7\u540e\u5f97\u518d\u6b21\u8f93\u5165\u6ce8\u518c\u7801"
\u4e0b\u8f7d\u8fd9\u4e9b\u8f6f\u4ef6\u65f6\uff0c\u4e0d\u8981\u76f4\u63a5\u70b9\u51fb\uff0c\u800c\u662f\u70b9\u51fb\u53f3\u952e\u7684\u201c\u4f7f\u7528\u8fc5\u96f7\u4e0b\u8f7d\u201d
\u8981\u4e0b\u8f7d\u65f6\u770b\u6e05\u695a\uff0c\u4e0b\u8f7d\u5730\u5740\u662f\u90a3\u4e2a\u201c\u672c\u5730\u8fde\u63a51\u201d\uff0c\u4e0d\u662f\u90a3\u4e2a\u201c\u7535\u4fe1\u7528\u6237\u4e0b\u8f7d\u201d\u201c\u7f51\u901a\u7528\u6237\u4e0b\u8f7d\u201d\u522b\u641e\u9519\u4e86\uff01\uff01\uff01\uff01\uff01
\uff08\u6728\u9a6c\u514b\u661f\u4e0d\u80fd\u548c\u4ed6\u76f8\u63d0\u5e76\u8bba\uff0c\u8ba9\u59d3\u7f57\u7684\u81ea\u5df1\u8bf4\uff0c\u4ed6\u4e5f\u5fc5\u987b\u627f\u8ba4\u8fd9\u662f\u6700\u597d\u7684\u53cd\u6728\u9a6c\u8f6f\u4ef6\uff09
\u7528\u5b83\uff0c\u518d\u52a0\u4e0a\u5361\u5df4\uff0c\u80fd\u8eb2\u5f97\u8fc7\u7684\u6728\u9a6c\u5f88\u5c11\u89c1\uff01\uff01\uff01\uff01\uff01
\u7528\u745e\u661f2006\uff0c\u53ef\u4ee5\u76f4\u63a5\u6740\u7684\uff01
\u6211\u4e5f\u88ab\u8fd9\u4e2a\u75c5\u6bd2\u9a9a\u6270\u8fc7
此病毒是一个Rootkit病毒,由C语言编写的过滤驱动程序,提供键盘按键记录功能。
该Rootkit病毒近期多次被Trojan.PSW.Win32.GameOnline型的病毒释放使用,在该病毒体内可以看到“C:\new-gamehack\GameHack\Driver\bin\i386\mssock.pdb”的字样,从编译路径可以看出该Rootkit显然是作者特意为盗取游戏密码病毒所写。
1、该病毒驱动程序入口函数执行如下操作:
(1) 检查系统是否存在USB键盘设备:病毒首先通过调用ObReferenceObjectByName函数得到\Driver\hidusb的驱动对象,然后遍历该驱动对象创建的功能设备的设备链。对设备链上的每个设备对象,遍历其所在的设备栈,对设备栈上的每个设备对象,通过 DEVICE_OBJECT->DriverObject->DriverName获取每个设备的驱动名称,比较是否是Driver\kbdhid,如果找到表示有USB键盘设备,得到USB键盘设备对象的指针。
(2)对键盘设备挂接过滤驱动:建立名称为“\Device\mssock”、符号链接名为“\??\mssock”、类型为“FILE_DEVICE_UNKNOWN”的设备,然后通过调用函数IoAttachDeviceToDeviceStack将该设备挂接到键盘设备所在的设备栈。
对于USB键盘设备,挂接的目标设备为通过前面搜索得到的USB设备对象。对于没有USB键盘设备的情况,通过调用IoGetDeviceObjectPointer获取名称为“\Device\KeyboardClass0”的PS/2 键盘设备作为目标设备。
(3)填写功能函数地址:填充卸载例程及各个IRP处理例程回调。
2、病毒的IRP_MJ_READ处理例程:设置完成例程后直接调用IofCallDriver向下一设备传递IRP
3、病毒驱动设立的对键盘读的irp包的完成例程:在该完成例程中,病毒驱动实现了获取并记录键盘按键的功能。病毒将读到的按键记录到缓冲区(通过DEVICE_OBJECT.DeviceExtension传递地址)。同时病毒作者在这里和IRP_MJ_DEVICE_CONTROL例程中通过写0x60端口发送命令控制键盘NumLock灯的开闭,可能是作者为了调试时能够方便的知道其过滤驱动的工作情况。
4、病毒驱动的IRP_MJ_DEVICE_CONTROL处理例程:在这个处理例程中,病毒对值为“0x 80102180”和“80102184”的IOCTL进行了处理。对于IOCTL = 0x 80102180 , 进行初始化处理,如清空记录缓冲区、计数器等。对于IOCTL = 0x 80102180 ,病毒将把在缓冲区中记录的按键扫描码返回给调用者。使用这个rootkit的程序可以调用DeviceIoContro函数进行控制和读取按键记录。
5、卸载例程:
调用IoDetachDevice摘除过滤设备
调用IoDeleteSymbolicLink删除符号链接
检查是否有IRP未完成且IRP有效则调用IoCancelIrp尝试取消这个IRP,如果取消IRP失败则等待直到有下一次IRP然后取消。
调用IoDeleteDevice删除设备。
由于该驱动在卸载例程中安全地删除了过滤设备并尝试取消未完成的IRP,所以该Rootkit可以被安全地卸载。不过一般的病毒作者很少会给用户留下安全的卸载例程,所以怀疑该Rootkit是作者从网上抄来的代码,作者有可能甚至不了解该驱动真正的工作原理。
“幻影后门”
这是一个具有感染功能、提供多种连接方式、可配置的后门病毒。
病毒作者在病毒体(客户端控制程序)内留下了明确的签名:
作者:dream2fly 作者网址: www.dream2fly.net 作者邮箱:[email protected]
作者的网址(论坛)中提供了多个自己编写的软件,包括本后门病毒。
作者的论坛中称本病毒为UAM (Universal Access Manager),中文名称“幻影远程控制”,提供收费注册使用。
病毒分为5个部分:服务端安装程序(ctfime.exe)、服务端核心程序(SysIdt00.dll)、服务端启动程序(被感染的explorer.exe)、客户端控制程序(UAManager.exe)、隐藏端口的Rootkit (uamanger.sys)。
服务端安装程序由C/C++语言编写,UPX加壳保护。其它部分由C/C++或汇编语言编写。
1、 服务端安装程序
服务端安装程序执行如下操作:
(1) 服务端安装程序运行后从程序资源中释放如下文件:
"%windir%\system32\SysIdt00.dll"、"%windir%\system32\DRIVERS\uamanger.sys"
(2) 然后将自己复制为"%windir%\system32\ctfime.exe"并启动,同时删除原文件。
(3) 将SysIdt00.dll、ctfime.exe、uamanger.sys的文件时间修改为同系统的cmd.exe相同,并将属性设置为“系统+隐藏”。
(4) 修改系统的文件保护,然后感染系统的explorer.exe。
(5) 以隐藏窗口方式启动被感染的explorer.exe。
2、 服务端启动程序(被感染的explorer.exe)
服务端安装程序在感染explorer.exe时,在其最后增加一个大小为0x1000的节写入病毒代码,并将入口点改为指向新的节的开始。被感染的病毒代码执行时通过调用LoadLibraryA装载SysIdt00.dll,然后返回原入口点。病毒感染explorer.exe的目的是为了在系统启动时都能运行SysIdt00.dll,达到自启动的目的。
3、服务端核心程序(SysIdt00.dll)
SysIdt00.dll中是远端监控的核心代码。
SysIdt00.dll通过被感染的explorer.exe被装载后执行如下功能:
(1) 通过调用SeDebugPrivilege等函数提升权限。
(2) 遍历进程对找到的第一个”svchost”进程,将自己将注入其内存,然后通过CreateRemoteThread启动其导出函数”Entry”。
SysIdt00.dll被注入svchost进程后执行如下功能:
(1) 通过尝试打开名为"UAM_4803"的互斥量来检查驱动是否加载,如加载则不做其它操作。
(2) 如果驱动没有加载,根据设置(可在生成服务端时设置是否加载驱动)加载驱动"%windir%\system32\DRIVERS\uamanger.sys"。
(3) 启动工作线程,实现远程监控功能。
(4) 在实现连接时,通过写文件"\\.\UAM"将连接的端口传给驱动,实现隐藏端口。
(5) 根据设置的连接方式和密码连接客户端(控制端)
生成服务端时可以设置三种连接方式:
直接连接方式(设置监听,由控制端来连接服务端)
反弹连接方式1 (设置ip地址和端口,服务端去连接控制端)
反弹连接方式2 (设置网页地址,服务端从这个地址下载ip.txt,按照其内容去连接控制端)
(6) 远程控制可以接受如下命令执行操作:
远程shell (cmd.exe命令操作)
进程管理
文件管理
远程桌面
视频监控
日志管理(查看、删除系统日志)
从任意网址下载、执行文件
远程更新、卸载服务端
4、客户端控制程序(UAManager.exe)
客户端控制程序提供远程连接控制功能,并且可以生成服务端程序。
在生成服务端程序时,可以进行如下设置:
连接方式和地址、连接密码、是否加载驱动、服务端运行时间。
5、隐藏端口的Rootkit (uamanger.sys)
病毒名称为Rootkit.Win32.PortHide.a,该驱动加载后首先创建一个名为\Device\hypy的设备和一个名为\??\hypy的符号链接用来和3环程序交互。这个设备名与3环程序所使用的符号链接(\\.\UAM)不同,所以显然我们所截获的样本是无法正常工作的。
之后该驱动注册IRP处理回调,在IRP_MJ_WRITE处理例程中,该驱动接受3环传入的需要隐藏的端口号,并保存在一个全局变量中。不过该Rootkit作者显然对驱动编写很不熟悉,所有的IRP处理例程均没有通过IofCompleteRequest完成,而是直接返回到I/O管理器。所以该驱动是无法正常地完成所希望实现的功能的。
该驱动通过替换KeServiceDescriptorTable中的函数地址来挂钩ZwDeviceIoControlFile,该Rootkit通过挂钩该API来隐藏指定端口。
“代理Rootkit变种XD”
此程序为rootkit类型程序
1.在驱动初始化时,对设备名和设备符号链接字符串进行解码,并创建设备和相应的符号链接来与用户态程序通信;
2.去除CR0寄存器中的WP位,以防止写只读页出现页异常,然后将内存中的加密字符串解码并写回,此解密字符串将用来与IOCTL传递的参数比较,从而判断是否响应该用户程序的IOCTRL;
3.获取进程的EPROCESS地址,在此结构体中搜索"system"字符串偏移,然后根据此偏移计算进程名在EPROCESS中的偏移,以备比较进程时使用;
4.注册IRP处理例程
支持:创建文件、设置注册表键值、关闭线程和卸载驱动
5.创建系统线程,每隔指定的时间后,尝试写入驱动程序对应的注册表项
6.注册进程创建通知例程,每当创建新进程时,该驱动做如下操作:
1)获取创建进程的EPROCESS,根据计算的偏移获取当前进程名称
2)判断当前创建进程是否为userinit.exe或者是explorer.exe,
如果是则创建系统线程,写入注册表项
\registry\machine\software\microsoft\windows\currentversion\runonce
键值:
%systemroot%\system32\Rundll32.exe %systemroot%\system32\%s.dll,DllUnregisterServer
3)映射ntoskrnl.exe到内存中,获取ntoskrnl.exe的服务表中指定服务函数的地址并保存,利用获取的服务函数地址枚举注册表,试图绕过其他软件的拦截;
4)记录 Winlogon.exe 的启动,但没有做其它操作,可能在以后的版本中会进行相关处理
“哈希信息窃取器”
这是一个C/C++编写的黑客工具。
该工具主要用来获取当前主机用户的LM/NTLM散列,使用者可以通过该散列对主机用户密码进行暴力破解.
支持用法:pwdump2 <pid of lsass.exe>
主程序行为:
1.若没有指定lsass.exe/pid参数,则执行如下操作:
[1].加载ntdll.dll,获取导出函数
NtQuerySystemInformation
RtlCompareUnicodeString
[2].调用NtQuerySystemInformation,InformationClass=5,获取进程信息列表
[3].遍历列表查找LSASS.EXE,获取该进程ID
2.打开自身进程,添加SeDebugPrivilege权限,以允许当前进程对LSASS.EXE等进程进行内存操作和线程操作
3.打开查找到的进程LSASS.EXE,获取该进程句柄
4.创建一事件,用于与通信线程同步
5.创建通信线程,执行如下操作:
[1]. 根据当前进程ID创建命名管道\\.\pipe\pwdump2-%ID%
[2]. 设置事件为有状态,通知主线程管道创建成功
[3]. 连接到管道并从中读取数据直到关闭
6.在创建的事件上等待,与之前创建的管道通信线程同步
7.向LSASS.EXE进程空间中写入创建的管道名和辅助动态库SamDump.dll导出函数名(DumpSam)作为参数,创建远程线程.
在远程线程中,根据传递的API地址,加载DLL,获取DLL导出函数(DumpSam)并调用
8.等待远程线程返回,释放资源。
动态库SamDump.dll导出函数DumpSam(char *)执行如下操作:
1.根据传入参数打开通信管道
2.加载samsrv.dll,获取如下函数地址
SamIConnect
SamrOpenDomain
SamrOpenUser
SamrQueryInformationUser
SamrEnumerateUsersInDomain
SamIFree_SAMPR_USER_INFO_BUFFER
SamIFree_SAMPR_ENUMERATION_BUFFER
SamrCloseHandle
3.依次调用如下函数
LsaOpenPolicy打开NT工作站
LsaQueryInformationPolicy获取工作站域SID
SamIConnect连接到SAM数据库
SamrOpenDomain根据域SID打开域
SamrEnumerateUsersInDomain枚举域内用户
SamrOpenUser打开域内指定用户,获取句柄
SamrQueryInformationUser枚举域用户信息
SamIFree_SAMPR_USER_INFO_BUFFER
SamrCloseHandle
木马,可能是远程控制或盗密码
你可以搜索 xinshouwudu 这个词来看下
绛旓細Trojan鏄鏈ㄩ┈鐥呮瘨 Worm鏄爼铏梾姣 Win32/Win95鏄郴缁熺梾姣 borckdoor鏄悗闂ㄧ梾姣 hare鏄伓鎰忎唬鐮 Hack鏄粦瀹㈢▼搴 Script/vbs/js鏄剼鏈被鐥呮瘨 Maro鏄畯鐥呮瘨 Joke鐜╃瑧 Binder鏄崋缁戞満鎹嗙粦鏈夋伓鎰忕殑涓滆タ锛屽鏈ㄩ┈鐥呮瘨 Dripper绉嶆绋嬪簭
绛旓細鏈ㄩ┈鍏ㄧО涓虹壒娲涗紛鏈ㄩ┈锛Trojan Horse锛岃嫳鏂囧垯绠绉颁负Trojan锛夈傛璇嶈鏉ユ簮浜庡彜甯岃厞鐨勭璇濇晠浜嬶紝浼犺甯岃厞浜哄洿鏀荤壒娲涗紛鍩庯紝涔呬箙涓嶈兘寰楁墜銆傚悗鏉ユ兂鍑轰簡涓涓湪椹锛岃澹叺钘忓尶浜庡法澶х殑鏈ㄩ┈涓傚ぇ閮ㄩ槦鍋囪鎾ら鑰屽皢鏈ㄩ┈鎽堝純浜庣壒娲涗紛鍩庝笅锛岃鏁屼汉灏嗗叾浣滀负鎴樺埄鍝佹嫋鍏ュ煄鍐呫傛湪椹唴鐨勫+鍏靛垯涔樺鏅氭晫浜哄簡绁濊儨鍒┿佹斁鏉捐鎯...
绛旓細鍦ㄨ绠楁満瀹夊叏棰嗗煙涓紝"Trojan-Generic"鏄竴涓湳璇紝閫氬父鐢ㄦ潵鎻忚堪鏉姣掕蒋浠舵垨鍙嶆伓鎰忚蒋浠跺伐鍏锋帰娴嬪埌鐨勪竴涓硾娉涚殑銆佷笉鍏蜂綋鎸囧悜鏌愪竴涓凡鐭ョ壒瀹氬彉浣撶殑鏈ㄩ┈鐥呮瘨銆傝繖绫绘娴嬮氬父鍩轰簬鐥呮瘨琛屼负鐨勪竴浜涢氱敤妯″紡锛岃屼笉鏄壒瀹氱殑鐥呮瘨绛惧悕銆傛湪椹梾姣掔殑鍩烘湰淇℃伅锛1. 瀹氫箟涓庡姛鑳斤細鏈ㄩ┈鐥呮瘨锛圱rojan锛夋槸涓绉嶆伓鎰忚蒋浠讹紝瀹冧吉瑁呮垚...
绛旓細Download.Trojan 鎰熸煋锛岃鍗曞嚮鈥滃垹闄も濄傚鏈夊繀瑕侊紝娓呴櫎 Internet Explorer 鍘嗗彶鍜屾枃浠躲傚鏋滆绋嬪簭鏄湪 Temporary Internet Files 鏂囦欢澶逛腑鐨勫帇缂╂枃浠跺唴妫娴嬪埌鐨勶紝璇锋墽琛屼互涓嬫楠わ細鍚姩 Internet Explorer銆傚崟鍑烩滃伐鍏封>鈥淚nternet 閫夐」鈥濄傚崟鍑烩滃父瑙勨濋夐」鍗♀淚nternet 涓存椂鏂囦欢鈥濋儴鍒嗕腑锛屽崟鍑烩滃垹闄ゆ枃浠垛...
绛旓細Trojan 鈥斺斺滅壒娲涗緷鏈ㄩ┈鈥濓紝杩欎簺鏈ㄩ┈涓鑸兘鏄互鍚庨棬銆佺獌鍙栧瘑鐮佺瓑鍔熻兘涓轰富銆傚畠鏄湪鎮ㄤ笉灏忓績鎶婃湪椹▼搴忓綋鎴愪簡涓涓蒋浠朵娇鐢ㄦ椂锛岃鏈ㄩ┈灏变細琚鍒版偍鐨刟sp.cn/ class=wordstyle>鐢佃剳閲岋紙涓鑸笉鏌撲换浣曟墽琛屾枃浠讹級锛屽綋鎮ㄧ敤涓簡鏈ㄩ┈鐨刟sp.cn/ class=wordstyle>鐢佃剳涓婄綉鏃讹紝鎮ㄧ殑asp.cn/ class=wordstyle>...
绛旓細Trojan.win32.鏄竴绉嶆劅鏌撳瀷鐥呮瘨锛屼竴鑸潃姣掑浣曢兘鍙互鎷︽埅瀹冦傛渶杩戞湁win764浣嶇郴缁熺殑鐢ㄦ埛鍦ㄤ娇鐢ㄥ畨鍏ㄨ蒋浠惰繘琛屾壂鎻忔椂妫鏌ュ埌浜嗚繖涓猅rojan.Win32鐥呮瘨骞惰繘琛屼簡娓呴櫎锛屽彲鏄數鑴戦噸鍚悗鎵弿杩樻槸浼氬啀娆℃娴嬪嚭鏉ラ潪甯哥殑鐑︿汉锛岃繖璇ユ庝箞鍔炲憿锛熶笅闈㈢敱灏忕紪缁欏ぇ瀹朵粙缁峸in7绯荤粺濡備綍褰诲簳娓呴櫎Trojan.Win32鐥呮瘨銆傝В鍐虫柟娉曪細1銆侀鍏堟槸...
绛旓細Trojan.Generic鏄竴绉嶉氱敤鍨鏈ㄩ┈鐥呮瘨锛屽畠涓嶅睘浜庣壒瀹氱殑鏈ㄩ┈瀹舵棌锛岃屾槸鏍规嵁鍏惰涓虹壒寰佽瀹夊叏杞欢褰掔被鐨勪竴涓爣绛俱傛墜鍔ㄦ竻闄rojan.Generic闇瑕佷竴瀹氱殑鎶鏈煡璇嗗拰璋ㄦ厧鎿嶄綔锛屽寘鎷粨鏉熺浉鍏宠繘绋嬨佸垹闄ゆ伓鎰忔枃浠躲佷慨澶嶆敞鍐岃〃椤圭瓑姝ラ銆俆rojan.Generic鏄澶氭潃姣掕蒋浠剁敤鏉ユ爣璇嗕竴绉嶅叿鏈夊吀鍨嬫湪椹梾姣掕涓轰絾灏氭湭琚槑纭綊绫诲埌鏌愪釜...
绛旓細Trojan鏈ㄩ┈鐥呮瘨鐥呮瘨绠浠嬶細鐥呮瘨鍚嶇О锛歩nfostealer鏈ㄩ┈鐥呮瘨鈥(Trojan/lemir/perfwo) 鐥呮瘨涓枃鍚嶏細闂磋皪鏈ㄩ┈鐥呮瘨 鐥呮瘨绫诲瀷锛氭湪椹 鍗遍櫓绾у埆锛氣槄鈽呪槄 褰卞搷骞冲彴锛歐in 9x/ME,Win 2000/NT,Win XP,Win 2003 鐥呮瘨鎻忚堪锛 Trojan : 鏈夐殣钘忔剰鍥剧殑浠讳綍绋嬪簭銆傜壒娲涗紛鏈ㄩ┈绋嬪簭鏄镜鍏ヨ绠楁満鐨勪富瑕佹柟寮忎箣涓銆傚鏋滄偍鐨勭▼搴忓湪璁块棶...
绛旓細鐗规礇浼婄殑鎰忔 灏辨槸缁忓吀鐨勭壒娲涗紛涔嬫垬 鍏告晠灏辨槸鏂反杈剧敤鏈ㄩ┈鎶婄壒娲涗紛鏀诲崰浜 鍚庢潵灏卞瘬鎰忓埌浜嗙數鑴戠梾姣掍笂浜 鎰忔濇槸 鎮勬倓娼滆繘浣犵殑鐢佃剳鍚庡彴鎺у埗浣犵殑鐢佃剳 鎵浠ュ彨鐗规礇浼婃湪椹
绛旓細trojan寮澶寸殑閮芥槸鏈ㄩ┈,涓簡鏈ㄥ悧灏辩敤鐢ㄤ笘鐣岀涓鐨勬潃鏈ㄩ┈杞欢ewido:Ewido v4.0.172 缁胯壊姹夊寲鐗 http://www.crsky.com/soft/7691.html 涓嬭浇瑙e帇,杩愯瀹夎绋嬪簭鏈変袱涓殑,绗竴涓槸,鐒跺悗杩愯绗簩涓,缁х画瀹夎,灏卞彉鎴愪腑鏂囦簡,绁濅綘濂借繍.鍏嶈垂鏃犳瘨 ,娉ㄥ唽椹粯甯 鏈変簡杩欎釜,骞垮憡鏈ㄩ┈鎵敖鍏....
