近 日，一款利用IE7漏洞进行传播的脚本木马在网上迅速传播，该木马利用搜索引擎检索站点漏洞，并进行自动传播。几天内，数万站点遭受感染，其中hongxiu.com、msn中国、东方财经网等都被入侵。发现恶意软件！某日早上，某网站维护人员小任像往常一样打开了网站首页，随手点击了一个链接，想验证一下网站是否可以正常访问，没想到居然触发了防病毒的软件的报警：“发现恶意软件”。心细的小任在一查之下大吃了一惊：首页的几乎所有链接都被加上了一个奇怪的网址“hxxp://c.nuclear3.com/css/c.js”，而这个js脚本，就是触发防病毒软件报警的元凶。无奈之下

如 今，趋利性病毒的攻击已成为当前电脑用户最大危害，利用病毒成为黑客获利的一种途径，而其中游戏帐号一直备受黑客们的“青睐”，黑客通过盗取倒卖游戏帐号，可以从中获得巨大的利益，他们便将罪恶的黑手伸向了网络游戏。近期，“魔域”网友将面临可能被盗号的危险。微点主动防御软件自动捕获了一个“魔域”盗号木马“Trojan-PSW.Win32.OnLineGames.frab”，使用“exe”扩展名，通过“网页木马”、“下载器下载”等途径植入用户计算机，运行后伺机盗取网络游戏“魔域”的“帐号”和“密码”。该木马被执行后，拷贝自身到系统目录system32下重命名并执

相 信大家对Dll木马都非常熟悉了。它确实是非常招人恨家伙。不像普通exe木马便于识别和清理，这家伙隐蔽性非常强，它可以嵌入一些如rundll32.exe,svchost.exe等正常的进程中去，让你找不到，即使找到了也难以清除，因为正常的进程正在调用它嘛。我用的是McAfee的杀毒软件，比如说它现在报告：defds.dll:C:\...\Temp\defds.dll删除失败fdgeg.com:C:\Windows\ime\fdgeg.com删除失败那么可以知道defds.dll应该是个dll木马。我们可以通过冰刃icesword来查看系统的进程，找到调用该dll文件的进程，比如说是notepad.exe。我们可以先尝试着终止该进程，该进程如

近 日，越来越多的企业用户向江民反病毒中心求助，称他们的企业网络正在遭受病毒侵袭，电脑运行缓慢，出现系统蓝屏、死机等现象，可执行文件被病毒感染，整个网络安全面临严重的病毒威胁。江民反病毒工程师经提取病毒样本分析后认为，多数企业都遭受了同一病毒“千足虫”（又名磁碟机）病毒侵害。“千足虫”（磁碟机）早在去年就被江民反病毒中心截获，期频繁变种，大有卷土重来之势。据介绍，“千足虫”又叫“磁碟机”，病毒能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全

很 多网游玩家的帐号曾经被盗过，不玩儿游戏的人可能无法理喻游戏玩家，网游帐号被盗，有家里失窃基本是一样的，帐号就是家门钥匙，一旦“钥匙”被盗，窃贼就可以洗劫你的财产。游戏玩家的财产有哪些呢？装备、好友、游戏财富、游戏里的虚拟地位，一旦你失去这些，在网游中就变得一文不名，游戏世界比现实更加残酷，一文不名，可能处处受人欺压哦。以下讲述可能导致你游戏帐号丢失的几个情景故事，没准儿这事儿曾经或即将在你身上发生。情景1：看游戏秘笈中木马玩家小花旦在游戏里想合成几件极品装备，缺钱缺经验，得到网上找找看别人有没有好的点子。结

黑 客威胁网络安全，“客学徒”同样暗藏杀机。本周，病毒“客学徒”（WIN32.Vking.cc.291840）很可能学成出道，钻进您家电脑“操练技艺”。这是一个客木马程序的变种。病毒运行时，将自身文件suchost.exe拷贝至%WINDOWS%\SYSTEM32\Drivers\目录下，通过修改注册表中的相关数据，将其设置为隐藏文件，避免被用户发现，实现开机自启动。接下来，“客学徒”会启动感染线程，将正常文件附加在自己文件的末尾。如此一来，用户运行正常文件，就等于运行病毒文件，而不会有所察觉。同时，病毒还将尝试删除卡巴斯基、麦咖啡、赛门铁克、金山毒霸、NOD32

W in32.TrojDownloader.FraudLoad.66048，这是一个黑客木马程序。该木马会降低系统安全设置，关闭防火墙，使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据，并下载其它木马。病毒名称:in32.TrojDownloader.FraudLoad.66048中文名称:伪装暴力下载器66048威胁级别:★★☆☆☆病毒类型:黑客程序病毒长度:66048字节影响系统:in9xinMeinNTin2000inXPin2003病毒行为:这是一个黑客木马程序。该木马会降低系统安全设置，关闭防火墙，使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据，并下载其

近 期发现一款恶意软件导致手工删除其BHO键值、挂起dll文件、强制删除等操作都会导致用户主机电脑关机重启。该流氓令许多手工杀毒爱好者在处理时都遇到了困境。清理专家的检测截图如下：毒霸2008用户针对该流氓的手工处理方法如下：1.使用金山清理专家进程管理器，点击『找出存在风险的进程』后仔细查看会发现一个svchost.exe进程下面会存在pwfsh.dll和niprp.dll文件，选择该进程后将其结束即可避免被病毒流氓关机的风险。（注意：进程中存在iexprorer.exe的话，建议最好同时全选后结束。）如图所示：2.点击金山清理专家扫描恶意软件后根据提示选择清除

针 对病毒冒充磁碟机专杀工具的问题，最新版的磁碟机专杀工具正式出炉。专杀文件名：DubaTool_AV_Killer.comMD5值：CA5323E521B0EB78982EA8037AF01CD9版本：6.4大小：1,499,136对机器狗/磁碟机/AV终结者专杀6.4版本染毒测试的结果如下：可以查杀AV终结者变种，av终结者和磁碟机混合感染时在Windows2000系统下可以查杀，在WindowsXP系统下可以查杀AV终结者并修复毒霸，对于被磁碟机感染的文件有时候不能清除，具体原因正在处理中。机器狗/磁碟机/AV终结者病毒都是木马下载器，中毒后不会是单一的病毒入侵，请注意在使用专杀工具处理掉这三种病毒后，继续

根 据江民反病毒中心监测统计，2008年5月12日到2008年5月18日，江民反病毒中心共截获病毒29928种，全国共有676414台计算机感染了病毒，较上周下降了8.03%。监测结果显示，本周“穿孔贼”变种（DLL）病毒暴增232%。上周最新发现的“穿孔贼”变种（DLL）病毒以4513台的感染量位列病毒排行榜第十六位，仅短短一周的时间，病毒感染量就暴增到14988台，并荣登病毒排行榜亚军。该病毒会盗取《梦幻西游》等多款网络游戏玩家的登陆帐号、并在后台将窃取到的这些信息发送到骇客指定的远程服务器站点上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来

很 多对安全知识了解不多的菜鸟们，在计算机中了“木马”之后就束手无策了。虽然现在市面上有多新版杀毒软件都可以自动清除大部分“木马”，但它们并不能防范新出现的“木马”程序。因此，查杀木马，最关键的还是要知道“木马”的工作原理。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。1、“木马”万能查杀法“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“

木 马的出现让我们损失的不仅仅是电脑控制权，更多的是隐私、金钱甚至是名誉。防范马已经成为安全领域中最重要的问题之一。可目前各大杀毒厂商还停止在病毒库查杀的方式上，让我们总是慢马一步。而动辄手工清除马的教程都要几大篇，其实只要我们具备一些基本的安全知识，完全可以防住马攻击。一、认识马从本质上说，马就是一种远程控制软件。不过远程控制软件也有分类。一般来说就是名正言顺的帮你远程管理和设置电脑的软件，如WindowsXP自带的远程协助功能，这类软件在运行时，都会在系统任务栏中出现，明确的告诉用户当前系统处于被控制状

五 一小长假期间，部分电脑用户发现使用多个杀毒软件清除病毒之后，在重启电脑时出错，提示信息为：“services.exe”运行错误，“电脑无法连接到httpaddurl和cdfview.dll或cards.dll”等类似信息，出错时提示的DLL文件各不相同，对应该病毒的多个不同变种。5月2日开始发现个别网友报告这种现象，该病毒的出现引起社区众多反病毒爱好者的一致关注。但可惜的是，很多报告发现这个现象的网友，此时的故障电脑基本无法正常上网，有的说开机大约需要10分钟甚至更长时间。随着时间的拖延，我们发现描述这个现象的网民也越来越多，金山反病毒中心目前捕获了部分

从 网上下载文件，千小心万小心也会感染病毒。造成不小的麻烦。但是，如果我们知道了所下载的文件带病毒，但又不忍心删除它，怎么办？下面教大家一个分离带木马的文件的方法。第一步：用UltraEdit的十六进制方式打开绑定程序，选中第二个MZ到第三个MZ之间的内容(即第二个文件)，将该部分复制。然后新建一个文件，粘贴，保存为EXE文件。第二步：选中第三个MZ至文件末尾之间的内容(即第三个文件)，同样复制，新建文件后粘贴、保存为EXE文件。第三步：现在你要通过检查两个文件的图标及大小来判断哪个文件是所需的正常程序。一般来说，所需程序文件与捆绑后

B yshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序（ackdoor）。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。黑客通常用yshell木马程序远程控制安装了WindowsNT/2000/XP/2003操作系统的机器。当yshell被安装在一台远程计算机上后，黑客就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。如何绕过主动防御yshell利用Rootkit技术，可以绕过严

费 尔托斯特安全(TwisterAnti-TrojanVirus)是一款同时拥有反木马、反病毒、反Rootkit功能的强大防毒软件。主要特点:拥有海量的病毒特征库，支持Windows安全中心，支持右键扫描，支持对ZIP、RAR等主流压缩格式的全面多层级扫描。能对硬盘、软盘、光盘、移动硬盘、网络驱动器、网站浏览Cache、E-mail附件中的每一个文件活动进行实时监控，并且资源占用率极低。先进的动态防御系统(FDDS)将动态跟踪电脑中的每一个活动程序，智能侦测出其中的未知木马病毒，并拥有极高的识别率。解疑式在线扫描系统可以对检测出的可疑程序进行在线诊断扫描。SmartScan快速扫

W in32.PSTroj.OnLineGames.xn.108627是一个盗号木马程序。它利用键盘记录的方法，记录下用户输入的全部信息，进行加密后发送给病毒作者。病毒名称(中文)：键盘记录员108627威胁级别：★★☆☆☆病毒类型：偷密码的木马病毒长度：108627影响系统：in9xinMeinNTin2000inXPin2003病毒行为：这个病毒是一个盗号木马程序。它利用键盘记录的方法，记录下用户输入的全部信息，进行加密后发送给病毒作者。病毒作者通过一定技术手段，就可以从这些信息中筛选出用户的各类账号和密码。1.程序运行后，生成文件%system32%\mmvo.exe%system32%\mmvo0.dll%Tem

W in32.Troj.DownLoaderT.dl.69632是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中，执行秘密下载。病毒名称(中文)：武装下载器69632威胁级别：★★☆☆☆病毒类型：木马下载器病毒长度：69632影响系统：in9xinMeinNTin2000inXPin2003病毒行为：这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中，执行秘密下载。同时，该木马会试图关闭系统自带的错误报告系统和部分杀毒软件，防止用户对它进行查杀。1.关闭系统错误报告服务(ERSvc)：修

W in32.PSTroj.OnLineGames.ni.458752是一个会盗窃网络游戏《热血江湖》账号的木马程序。它运行后会替换掉网游《热血江湖》的启动文件，让用户通过病毒伪装的启动文件进入游戏。病毒名称(中文)：热血江湖伪装登录器458752威胁级别：★☆☆☆☆病毒类型：偷密码的木马病毒长度：458752影响系统：in9xinMeinNTin2000inXPin2003病毒行为：这是一个会盗窃网络游戏《热血江湖》账号的木马程序。它运行后会替换掉网游《热血江湖》的启动文件，让用户通过病毒伪装的启动文件进入游戏，从而盗取系统上的账号信息，并发送给木马作者。1.程序运行后，生成文

4 月1日，金山毒霸全球反病毒监测中心发布周（2008..1-2008..20）病毒预警，磁碟机等木马下载器风头过后，类似灰鸽子的远程木马程序再次卷土重来。近日，一个名为“风花雪月”的黑客后门程序借木马抒写情书大搞浪漫，在用户电脑上建立后门，随机生成监听端口，等待黑客服务器端的连接。如果黑客进入了用户电脑，可以进行任意操作，给用户带来无法估计的损失。金山毒霸反病毒专家李铁军表示，该病毒利用被感染的EXE文件来进行传播，然后在中毒电脑上建立后门，等待黑客进入。病毒作者在感染的文件中附带了一封名为“风花雪月”的英文情书表达自己对某

一 些最新流行的木马最有效果的防御就是修改名字现在我们来说防范的方法那就是把windows\system\mshta.exe文件改名改成什么自己随便(xp和win2000是在system32下)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility\下为ActiveSetupcontrols创建个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00B6015C}，然后在新键值下创建个REG_DWORD类型的键Compatibility，并设定键值为0x00000400即可。还有windows\command\debug.exe和windows\ftp.exe都给改个名字(或者删除)比如网络上流行的木马smss.exe这个是其中种木马的主

一 、病毒标签：病毒名称：Backdoor.Win32.Rbot.bzc病毒类型：后门类文件MD5：0A857253293CDED4B0DA8914C1780249公开范围：完全公开危害等级：4文件长度：128,000字节感染系统：windows98以上版本二、病毒描述：该病毒为后门类，病毒运行后复制自身到系统目录，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。关闭Windows防火墙服务；关闭自动更新服务；禁用“监视系统安全设置和配置服务”项；并把自身副本添加到防火墙默认放行列表。连接到IRC服务器，等待受控。三、行为分析：1、病毒运行后，复制自身到系统目录下，并删除自身：%Syste

以 下是对大水牛下载者木马的详细分析：大水牛v3.5X分析报告建议中文名，就叫“大水牛”吧，这个东西一直有，这个版本只不过是它的最新变种。一、执行流程1.病毒在系统中释放出下病毒：%SystemRoot%\system32\nwizs.exe%SystemRoot%\system32\hook_nwizs.dll%UserProfile%\LocalSettings\Temp\nwizs%SystemRoot%\system32\nwizs.txt%SystemRoot%\system32\svchost.exe%SystemRoot%\system32\drivers\Beep.sys2.修改系统注册表，将病毒主文件nwizs.exe添加到启动项，实现开机启动，但病毒会隐藏自身文件和注册表启动项目，使用户用一般软件无法看见其文

一 、什么是并联方式令人费解的是，自己明明已经删除了木马文件和相应的启动项，却为什么不能恢复正常呢？不少用户都很疑惑，难道删除的木马竟然恶意修改了操作系统核心吗？要想解开这些疑惑，我们就不得不从什么是文件的“并联方式”说起，因为这种木马修改了应用程序文件（通常是EXE）的并联方式。说起Windows系统，就不能不谈到注册表，注册表在Windows系统中的地位是高高在上的，如果用户使用的是Windows系统，而至今还不知道什么注册表的话，那么还是先找些注册表和Windows系统原理的资料好好补习补习吧！在Windows系统中，几乎所有文件的打开操作

一 、经常看到有玩家说，在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员，还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道，不管是传奇还是任何款程序。它都是有他所特有的数据的（包括玩家的帐号、密码，等级装备资料等等）。这些数据都是会通过本机与游戏服务器取得了验证以后，玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里

“ 梦幻西游盗号者17408”(PE.Win32.PSWTroj.OnLineGames.17408)是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。病毒名称(中文)：梦幻西游盗号者17408威胁级别：★☆☆☆☆病毒类型：偷密码的木马病毒长度：7408影响系统：Win9xWinMeWinNTWin2000WinXPWin2003病毒行为：这是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的账号信息，并下载其它病毒至受害电脑上运行。1.程序运行后，生成病毒所需文件%Temp%\D3D9_32.DLL%Temp%\D3D9_64.DLL%Temp%\DXDLG.EXE%system32%\D3D9_32.DLL%system32%

俗 话说“常在江湖飘，哪能不挨刀”。经常上网的朋友最头痛的就是碰到病毒、木马和流氓软件。尤其是木马，不但使电脑受到迫害，而且很有可能丢失你重要的账号和密码！所以如何防止木马的侵害，是广大网友最关心的问题。我们今天给大家介绍的是用最常见的工具，只用两步就把这些害群之马统统“干掉”。第一步，常规作战作战目标：快速清理常见恶意插件主战武器：360安全卫士、瑞星卡卡辅助方案：超级兔子、完美卸载、恶意软件清理助手优点：方便快捷，简单易用缺点：难免有漏网之鱼操作方法：安装，扫描，清除。360安全卫士瑞星卡卡大家都知道，恶意插件

其 实中毒后的处理方法就是那么几种，但是借助杀毒软件用手工方法处理是最为有效的！！！！木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：1.)检查注册表看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrenVersion和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键

“ 木马下载器73728”（Win32.Troj.Delf.se.73728），这是一个木马下载器。它本身对系统安全没有破坏性，但会利用IE浏览器建立远程服务，下载其它木马到用户电脑上运行。黑冰下载器变种102400”（Worm.VcingT.w.102400），这是一个黑冰木马下载器的变种。它会破坏一些安全工具和杀毒软件的正常运行，并反复写注册表来破坏系统安全模式。病毒还会在每个分区下释放AUTORUN.INF来达到自运行。在发作后期，它会下载大量其它木马程序到用户电脑上。一、木马下载器73728”（Win32.Troj.Delf.se.73728）威胁级别：★这是一个威胁级别较低的木马下载器，它对

一 、病毒标签：病毒名称：Backdoor.Win32.IRCBot.aba病毒类型：后门类文件MD5：8F6CB8D895E60387FE3E41377D0F0D3F公开范围：完全公开危害等级：4文件长度：270,848字节感染系统：windows98以上版本加壳类型：未知壳二、病毒描述：该病毒为后门类，病毒运行后复制自身到系统目录，并重命名为mozila.exe，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。把自身副本文件添加到防火墙默认放行列表。连接到IRC服务器，等待受控。三、行为分析：1、病毒运行后衍生文件：%System32%\mozila.exe2、修改注册表，添加启动项，以达到随机启动的目的：