歷史上最強大的特洛伊病毒是什麽？

第壹，網絡大牛。網絡牛，也叫網牛，是國內的特洛伊。默認連接端口為23444，最新版本為V1.1。服務器程序newserver.exe運行後，會自動殼入checkdll.exe，位於C:\WINDOWS\SYSTEM下，checkdll.exe下次開機會自動運行，所以很隱蔽，很有害。同時服務器運行後會自動綁定以下文件:win9x下:綁定notepad.exe；winhelp.exe，regedit.exe，winhelp.exe，winhelp.exe .win nt/2000:(2000年，會有文件變更報警，但不能阻止以下文件的綁定)notepad.exe、regedit.exe、reged32.exe、drwtsn32.exe；winmine.exe .服務器運行後，會捆綁第三方軟件(如realplay.exe、QQ、ICQ等。)打開後會自動運行。網絡大牛也悄悄在註冊表裏紮了根，如下:[HKEY _當前_用戶\軟件\微軟\ Windows \當前版本\運行] "checkdll.exe" = "C: \ Windows \系統\ check dll . exe "[HKEY _ LOCAL _ MACHINE \軟件\微軟\ Windows \當前版本\運行服務]" check dll . exe " = " C:\ Windows \系統\ check dll . exe "[HKEY _用戶\]。default \ software \ Microsoft \ windows \ current version \ run]" check dll . exe " = " c:\ windows \ system \ check dll . exe "在我看來，網絡大牛是最討厭的。它不使用文件關聯功能，而是使用文件綁定功能，該功能與上面列出的文件綁定在壹起。很難去除！妳可能會問:那為什麽其他木馬不用這個功能呢？哈哈，其實有很多木馬都是使用綁定的方式，這樣做也有壹個缺點:很容易暴露自己！只要是稍微有經驗的用戶，都會發現文件長度變了，從而懷疑自己被特洛伊馬撞了。清洗方法:1。刪除網絡公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。2.刪除註冊表中所有網絡牛人建立的鍵值(刪除上面列出的所有鍵值)。3.檢查上面列出的文件。如果文件長度發生變化(40K左右，對比其他電腦上的正常文件即可得知)，刪除！然後點擊“開始->附件->系統工具->系統信息->工具->系統文件檢查器”，在彈出的對話框中選擇“從安裝軟盤(E)中提取文件”，填寫要提取的文件(妳之前刪除的文件)，點擊“確定”按鈕，然後按照屏幕提示恢復這些文件。如realplay.exe、QQ、ICQ等第三方軟件。，在啟動時自動運行，是捆綁的，妳必須刪除這些文件並重新安裝。第二，NetThief，也叫NetThief，是特洛伊第壹反彈港！什麽是“反彈港”特洛伊馬？筆者在分析了防火墻的特點後發現，大多數防火墻往往會非常嚴格地過濾外部到本地計算機的連接，卻無法防範來自本地計算機的連接(當然也有部分防火墻兩方面都很嚴格)。因此，與壹般的特洛伊相反，反彈端口特洛伊的服務器(受控端)使用主動端口，客戶端(受控端)使用被動端口。當要建立連接時，客戶端通過FTP主頁空間告訴服務器:“現在開始連接我！”，並進入監聽狀態。服務器收到通知後，會開始連接客戶端。為了隱蔽，客戶端的監聽端口通常設置為80，所以即使用戶使用端口掃描軟件檢查自己的端口，也會發現類似“TCP服務器的IP地址:1026客戶端的IP地址:80已建立”的東西。稍有不慎，就會以為是在瀏覽網頁。防火墻也會這麽想。我想大概沒有防火墻不會給用戶80端口的外接吧，呵呵。最新提示:目前國內特洛伊高手正在大規模實驗(使用)特洛伊，網絡大盜已經大行其道！木馬也與日俱增，壹定要小心！清洗方法:1。網絡大盜會在註冊表HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行中創建鍵值“internet”，其值為“internet.exe /s”，並刪除鍵值。2.刪除它的自啟動程序C:\ Windows C:\ Windows \ SYSTEM \ internet . exe好了，小偷完蛋了！三、WAY2.4(火鳳凰、流氓小子)WAY2.4又稱火鳳凰、流氓小子，是壹款國產木馬程序，默認連接端口為8011。許多特洛伊馬專家在介紹這種特洛伊馬時稱贊其強大的註冊表操縱功能，也正因為如此，它對我們構成了更大的威脅。從我的實驗來看，WAY2.4的註冊表操作確實有自己的特點，讀寫受控註冊表和讀寫本地註冊表壹樣方便！這比我們熟悉的冰川好多了。Glacier的註冊表操作沒有那麽直觀——每次我都要輸入壹個字符壹個字符，WAY2.4可以說是註冊表操作中的木馬boss。WAY2.4服務器運行後，會在C:\windows\system下生成壹個msgsvc.exe文件。圖標是文本文件的圖標，文件大小為235，008字節，文件修改時間為1998年5月30日。似乎它想模仿系統文件msgsvc32.exe。同時，WAY2.4在註冊表HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行中創建壹個字符串值的Msgtask，其鍵值為c:\ Windows \ system \ msgsvc.exe。這時如果使用進程管理工具，會發現進程C:\windows\system\msgsvc.exe赫然在列！清除方法:要清除方式，只需在註冊表中刪除其鍵值，然後刪除C:\windows\system下的文件msgsvc.exe。需要註意的是，msgsvc.exe不能在Windows下直接刪除。此時，您可以使用進程管理工具終止其進程，然後刪除它。或者在Dos下刪除msgsvc.exe。如果服務器已經綁定了可執行文件，那麽只會刪除可執行文件！註意:請在刪除前進行備份。4.冰川冰川可以說是最著名的特洛伊馬，連連剛的電腦用戶都聽說過。雖然很多殺毒軟件都可以查殺，但是國內還是有幾十萬臺電腦！作為壹匹特洛伊馬，冰川創造了壹個被最多人使用，被最多人拍攝的奇跡！現在網上有很多冰川變種程序。這裏介紹的是它的標準版本。掌握了如何清除標準版之後，對付變種冰川就很容易了。冰川的服務器程序是G-server.exe，客戶端程序是G-client.exe。默認連接端口是7626。壹旦G-server運行，程序在目錄C:\Windows\system中生成Kernel32.exe和sysexplr.exe，並刪除自己。Kernel32.exe在系統啟動時自動加載，sysexplr.exe與TXT文件關聯。即使刪除了Kernel32.exe，只要打開TXT文件，sysexplr.exe就會被激活，它又會生成Kernel32.exe，於是冰川又回來了！這就是冰川被反復刪除的原因。清洗方法:1。刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。2.Glacier在註冊表HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行，鍵值為C:\ Windows C:\ Windows \ system \ kernel 32 . exe刪除它。3.如果註冊表HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行服務中有C:\windows\system\Kernel32.exe的鍵值，也應該刪除。4.最後，將HKEY _類_根\ txtfile \ shell \ open \ command下的默認值，由特洛伊馬後的C:\ Windows \ system \ sysexplr . exe % 1改為正常情況下的C:\windows\notepad.exe %1。五、廣外女生廣外女生是廣東外語外貿大學“廣外女生”網絡團的出道之作。它是壹種新的遠程監控工具，具有很強的破壞性。遠程上傳、下載、刪除文件、修改註冊表都是很自然的事情。可怕的是，被執行後，廣外女生服務中心會自動檢查該進程是否包含金山毒霸、防火墻、iparmor、tcmonitor、實時監控、鎖定、秒殺、天網等字眼。如果被發現，進程將被終止，也就是說防火墻將完全失效！在特洛伊馬運行後，它會在系統的系統目錄中生成壹個名為DIAGCFG.EXE的自身副本，該副本與。EXE文件。如果貿然刪除文件，會導致所有。無法打開系統中的EXE文件。清洗方法:1。由於特洛伊在運行時不能刪除文件，所以它以純DOS模式啟動，在系統目錄中找到DIAGFG.EXE並刪除它。2.因為DIAGCFG.EXE的文件已經被刪除了。exe文件不能在Windows環境中運行。我們在Windows目錄下找到了註冊表編輯器“Regedit.exe”，並將其重命名為“Regedit.com”。3.回到Windows模式，運行Windows目錄下的Regedit.com程序(我們剛剛重命名的文件)。4.找到HKEY _類_根\ Exefile \ Shell \ Open \ Command，將其默認鍵值改為“% 1”% *。5.找到HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行服務，刪除名為“診斷配置”的鍵。6.關閉註冊表編輯器，返回Windows目錄，將“Regedit.com”改回“Regedit.exe”。7.完成。六、智能基因智能基因也是國產特洛伊，默認連接端口為7511。服務器文件genueserver.exe使用HTM文件的圖標。如果妳的系統設置為不顯示文件擴展名，那麽妳會認為這是壹個HTM文件，很容易上當。客戶文件genueclient.exe。如果妳不小心運行了服務器文件genueserver.exe，它會假裝啟動IE，讓妳進壹步以為這是壹個HTM文件，運行後還會生成壹個GENUESERVER.htm文件，還用來迷惑妳！怎麽樣？妳盡妳所能了嗎？哈哈，木馬就是這麽幹的。騙妳沒得商量！聰明基因是壹個文件相關的特洛伊馬。服務器運行後會生成三個文件，分別是:C:\WINDOWS\MBBManager.exe和Explore32.exe和C:\WINDOWS\system\editor.exe，這三個文件都使用HTM文件圖標。如果妳不註意，妳會真的以為它們是HTM文件！Explore32.exe用於關聯HLP文件，MBBManager.exe用於啟動時加載並運行，editor.exe用於關聯TXT文件。如果妳找到並刪除MBBManager.exe，妳不會真的清除它。壹旦妳打開Explore32.exe和editor.exe的HLP文件或文本文件，它們就會被激活！它再次生成守護進程MBBManager.exe！想洗清我的嫌疑？沒那麽容易！智能基因最可怕的是它永久隱藏遠程主機驅動的功能。如果控制端選擇了這個功能，被控端就慘了。想拿回硬盤嗎？嘿嘿，沒那麽容易！清洗方法:1。刪除文件。刪除C:\WINDOWS下的MBBManager.exe和Explore32.exe，然後刪除C:\WINDOWS\system下的editor.exe文件。如果服務器已經在運行，妳必須使用進程管理軟件終止MBBManager.exe的進程，然後在windows下刪除它。還可以在純DOS下刪除MBBManager.exe，在windows下直接刪除editor.exe。2.刪除啟動文件。將註冊表展開到HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行，刪除鍵值“MainBroad BackManager”，其值為C:\ Windows \ mbbmanager.exe。每次開機都是加載運行的，刪除的時候不要手軟！3.恢復TXT文件關聯。智能基因從C:\WINDOWS\NOTEPAD更改了HKEY _類_根\ txtfile \ shell \ open \ command下的默認鍵值。EXE %1到C:\ Windows \ system \ editor . EXE % 1，所以應該恢復到原來的值。同樣，在註冊表中進入HKEY _本地_機器\軟件\類\ txtfile \ shell \ open \ command，將默認鍵值從C:\ Windows \ system \ editor . exe % 1更改為c: \ C:\WINDOWS\NOTEPAD。EXE %1+。4.恢復HLP文件關聯。聰明基因把HKEY _ Classes _ root \ HLPFile \ Shell \ Open \ Command下的默認鍵值改成了C:\ Windows \ explore 32 . exe % 1，所以應該恢復成原來的值:C:\ Windows \ winhlp32 . exe % 1。同樣的，到註冊表中的HKEY _本地_機器\軟件\類\ hlpfile \ shell \ open \ command，將默認鍵值從c:\ Windows \ explorer 32 . exe % 1改為c: \ Windows \ winhlp32.exe% 65438+。好了，可以和聰明基因說“再見”了！七、黑洞2001黑洞2001是國內木馬程序，默認連接端口為2001。黑洞的可怕之處在於它有強大的殺死進程的功能！也就是說，控制終端可以隨意終止受控終端的進程。如果這個進程是天網之類的防火墻，那麽妳的保護就沒有了，黑客就可以長驅直入，在妳的系統中自由活動。黑洞2001的服務器執行後，會在C:\windows\system下生成兩個文件。壹個是S_Server.exe，直接復制服務器，用文件夾的圖標。註意，這是可執行文件，不是文件夾。另壹個是windows.exe，文件大小為255，488字節，使用未定義類型的圖標。黑洞2001是壹個典型的文件協會特洛伊。windows.exe文件在機器打開時立即運行，並打開默認端口2001。S_Server.exe文件用於連接TXT文件打開方式(即關聯)！其中，在特洛伊馬發現自己中了特洛伊馬，在DOS下刪除了windows.exe文件後，服務器暫時關閉，也就是暫時刪除了特洛伊馬。當運行任何壹個文本文件時，隱藏的S_Server.exe特洛伊馬文件又被殺死了，於是又生成了windows.exe文件，也就是又壹次進入了特洛伊馬！清除方法:1)從S_SERVER更改HKEY _類_根\ txtfile \ shell \ open \ command下的默認鍵值。EXE %1到C:\WINDOWS\NOTEPAD。EXE %1。2)從S_SERVER更改HKEY _本地_機器\軟件\類\ txtfile \ shell \ open \命令下的默認鍵值。EXE %1到C:\WINDOWS\NOTEPAD。EXE %1。3)刪除HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行服務\下的字符串值窗口。4)刪除HKEY _類_根和HKEY _本地_機器\軟件\類下的Winvxd主鍵。5)轉到C:\WINDOWS\SYSTEM，刪除windows.exe和S_Server.exe，需要註意的是，如果已經打了黑洞2001，那麽在WINDOWS環境下不能直接刪除文件windows.exe。這時，我們可以在DOS模式下刪除它，或者使用進程管理軟件終止windows.exe的進程，然後刪除它。至此，黑洞2001被安全清除。八、Netspy(網絡精靈)Netspy又稱網絡精靈，是壹款國產特洛伊，最新版本為3.0，默認連接端口為7306。在這個版本中，新增了註冊表編輯功能和瀏覽器監控功能。現在，客戶端可以通過IE遠程監控，也可以在沒有NetMonitor的情況下導航！它的威力不亞於冰川和BO2000！服務器程序執行後，將在目錄C:\Windows\system中生成netspy.exe文件。同時在註冊表HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行\中建立鍵值C:\windows\system\netspy.exe，在系統啟動時自動加載運行。清洗方法:1。當啟動windows提示符出現時，重新啟動機器並按F5鍵進入命令行狀態。在C:\windows\system\目錄中輸入以下命令:DEL netspy.exe Enter！2.輸入HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行\並刪除Netspy的鍵值，安全清除Netspy。九、SubsevenSubsevenSubsevenCompared的功能與大名鼎鼎的BO2K相比，可以說是有過之而無不及。最新版本是2.2(默認連接端口是27374)，服務器只有54.5k！很容易被綁在其他軟件上而不被發現！最新版本的金山毒霸等殺毒軟件都找不到。服務器端程序server.exe，客戶端程序subseven.exe。SubSeven服務器執行後變化很大，每次啟動時進程名都會變，很難找到。清算方式:1。打開註冊表Regedit，然後單擊:HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行和運行服務。如果有加載文件，刪除右邊的項:loader = "c: \ Windows \ system \ * *"。註意:加載程序和文件名是隨意更改的。2.打開win.ini文件，檢查“run=”後是否添加了可執行文件名稱，如果是則刪除。3.打開system.ini文件，檢查“shell=explorer.exe”後是否有文件，如果有就刪除。4.重啟Windows，刪除相應的木馬程序。壹般在C:\windows\system下，我在這臺機器上做實驗的時候發現文件名是vqpbk.exe。