“飞贼”间谍木马(Trojan-Spy.Win32.FlyStudio.ehk)

间谍程序清洁工具——Spy Sweeper
解国军
【期刊名称】《电脑迷》
【年(卷),期】2004(0)10
【摘要】据美国互联网服务提供商Earthlink发表的一篇报告,平均每台电脑感染了28个间谍软件,其中包括木马、键盘记录软件和广告程序等。

这些程序往往是寄生在其它正常的软件中,或是当用户上网时偷偷进入系统中的,这类程序在分类上并不属于病毒,但危害却不可小视。

它们不但可以盗取用户上网信息,个人账号信息,而且还可以通过恶意拔号程序把你的电脑连接到外国,产生巨额话费造成巨大的经济损失。

SpySweeper是一款间谍软件清理工具,它可以快速地在系统中搜索已知的间谍程序,并在浏览网页、收发邮件、下载软件、使用P2P软件时进行实时监控,它甚至能解释间谍软件的所作所为,以增长我们对间谍软件攻击性的认识!
【总页数】2页(P65-66)
【关键词】间谍软件;程序;互联网服务提供商;下载软件;实时监控;记录软件;病毒;经济损失;电脑;扫描方式
【作者】解国军
【作者单位】
【正文语种】中文
【中图分类】TP311.56
【相关文献】
1.拥抱007 间谍坦克Rover Spy Tank [J], 秦瀚钰
2.Spy Sweeper,你的隐私保护神 [J], OKBOY
3.间谍软件剿杀利器--Spy Sweeper [J],
4.I SPY《金牌间谍》 [J], 无
5.欲望间谍SPY OF LUST [J], 铁铁
因版权原因，仅展示原文概要，查看原文内容请购买。

江民公布“网银大盗Ⅲ”病毒技术分析报告电脑资料病毒名称：网银大盗Ⅲ(TrojanSpy.Elelist)病毒类型：木马病毒大小：38400字节传播方式：网络xx年6月8日，江民反病毒中心率先截获"网银大盗Ⅲ"木马病毒(TrojanSpy.Elelist)，详细技术特征如下：1.病毒运行后，将在用户计算机中创立以下文件：%SystemDir%\mssdk32.dll,119字节，%SystemDir%\mslib32.dll,24576字节，%WinDir%\system\user32.exe,38400字节，病毒文件病毒文件2.在表的HKEYCURRENTUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\R un下创立："UserMansger"="%WinDir%\system\user32.exe"或修改SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell 为："Shell"="EXPlorer.exe%WinDir%\system\user32.exe"表内容这样，病毒在系统启动时即可运行，3.病毒运行后调用mslib32.dll病毒模块，该模块负责设置挂钩，并对IE页面控件进展监视，一旦认定用户正在某些国外银行的网页上进展交互操作，就把各种IE控件的有关信息(包括用户名、密码输入框，各种选择框，ComboBox选择列表等)记录到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll两个文件中。

4.病毒主程序每隔1秒检查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在，假如存在，就把这2个文件中的内容通过电子邮件发送给病毒作?AHREF="mailto:11list@mail.ru。

目前流行的电脑病毒有哪些电脑病毒、木马的数量依然保持着高速增长，目前主要流行的电脑病毒有哪些呢?下面由店铺给你做出详细的目前流行的电脑病毒介绍!希望对你有帮助!目前流行的电脑病毒介绍：一、机器狗病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 描述：机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒变种繁多，多表现为杀毒软件无法正常运行。

该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑带来严重的威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件(比如explorer.exe，userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点，影子等还原系统软件导致大量网吧(网吧联盟网吧新闻搜狗)用户感染病毒，无法通过还原来保证系统的安全;通过修复SSDT(就是恢复安全软件对系统关键API的HOOK)，映像挟持，进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁，部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP 欺骗影响网络安全。

二、磁碟机病毒名称：Trojan.Psw.Onlinegame.Dog 病毒中文名：QQ大盗病毒类型：木马危险级别：影响平台：Win9X/2000/XP/NT/Me 简介:电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。

被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。

trojan原理Trojan是一种恶意软件，通常是通过电子邮件、社交媒体或其他方式传播，隐藏在看似有用的软件或文件中。

一旦被安装，Trojan可以窃取个人信息、控制计算机或网络，并开启后门，使黑客可以随时访问受害者的计算机。

Trojan主要有以下几个特点：1. 伪装成有用的软件或文件，引诱用户下载或安装。

2. 可以传播到整个网络，通过远程控制进行攻击。

3. 可以损坏受感染计算机的文件、系统和硬件。

4. Trojans可以被黑客用于窃取个人信息和密码等敏感数据。

Trojan的工作原理基于以下几个方面：1. 诱骗用户。

Trojan是通过欺骗用户来入侵计算机系统的。

一旦下载或安装Trojan，用户的计算机将会被植入恶意程序，并开始进行恶意活动。

2. 启动后门。

Trojan是一种后门程序，它可以打开一个隐秘的端口，允许黑客从远程访问受感染计算机系统。

这将使黑客能够在未经授权的情况下获取敏感数据和控制整个计算机系统。

3. 控制计算机和网络。

Trojan可以被用于控制计算机和网络系统。

它可以通过发送指令来操纵受感染计算机的操作，并使计算机执行意图不轨的活动。

4. 数据窃取。

通过后门程序，黑客可以获取受感染计算机上的敏感数据。

这些数据包括密码、个人信息和财务数据等。

黑客可以利用这些数据来实施诈骗和其他犯罪行为。

为了对抗Trojan的攻击，我们可以采用以下防御措施：1. 使用防病毒软件。

有许多防病毒软件可以用来保护计算机免受Trojan的侵袭。

这些软件可以检测和防止恶意软件的入侵。

2. 勿打开垃圾邮件。

许多Trojan通过电子邮件和社交媒体等方式传播。

要防止这种攻击，不能打开未知发件人的垃圾邮件，并避免下载不安全的文件。

3. 不要随意安装软件。

Trojan通常伪装成有用的软件或文件，诱使用户下载或安装。

用户应该仔细检查每个软件或文件，并只安装可信赖的软件。

4. 更新系统和软件。

更新操作系统和软件是一种保护电脑免受安全漏洞攻击的重要措施。

解读龙之谷盗号木马Trojan-PSW.Win32.请大家注意一下，不要牺牲咯! 龙之谷盗号木马Trojan-PSW.Win32.OnLineGames.d 捕获时间2010-9-13 危害等级中病毒症状该样本是使用“VC ”编写的盗号木马，用Upack加壳。

由微点主动防御软件自动捕获，长度为“25,436 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取网络游戏“龙之谷”的“用户名”、“密码”等相关信息。

用户中毒后，会出现“龙之谷” 游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取。

感染对象Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7 传播途径文件捆绑、网页挂马、下载器下载未安装杀毒软件主动防御软件的手动解决办法：1、手动删除以下文件：%Temp%TML4.tmp %SystemRoot%system32d3d9.dll.tmpz %Sy stemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll%SystemRoot%system32DllCached3d9.dll.tmpx 2、手动更改以下文件用正常的d3d9.dll替换被感染的%SystemRoot%system32d3d9.dll %SystemRoot%system32DllCached3d9.dll 变量声明：%SystemDriver% 系统所在分区，通常为“C:” %SystemRoot% WINDODWS所在目录，通常为“C:Windows” %Documents and Settings% 用户文档目录，通常为“C:Documents and Settings” %Temp% 临时文件夹，通常为“C:Documents and Settings当前用户名称LocalSettingsTemp” %ProgramFiles% 系统程序默认安装目录，通常为：“C:ProgramFiles”病毒分析1、病毒利用sc.exe打开服务，结束并删除cryptsvc服务，并且不让此服务随机启动，从而关闭系统认证保护功能; 2、查找临时文件夹路径，在%Temp%下创建文件TML4.tmp,提升自身进程权限; 3、建立进程快照，遍历进程查找explorer.exe,然后将TML4.tmp的进程注入explorer.exe，以达到隐藏自身进程目的; 4、获取系统路径，查找系统文件%SystemRoot%system32d3d9.dll，找到后将其复制为d3d9.dll.tmpz，并且重写该文件,完成后将系统文件d3d9.dll重命名为d3d9.dll.tmpx，并将感染后的%SystemRoot%system32 d3d9.dll.tmpz复制为%SystemRoot%system32d3d9.dll和%SystemRoot%system32DllCached3d9.dll,DLLCache文件夹中原来正常d3d9.dll重命名为d3d9.dll.tmpx,完成后删除%SystemRoot%system32d3d9.dll.tmpx; 5、查找系统文件sfc-os.dll,破坏Windows文件保护。

Trojan.Win32病毒名称：Trojan.win32.中文名：冲击波病毒长度：可变病毒类型：木马危害等级：★影响平台：Win 9X/NT/WIN95/XP/WIN98Trojan.win32.DWSchanger.iy 修改注册表，实现开机自启。

在每个文件夹下生成desktop_.ini文件，文件里标记着病毒发作日期。

删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

感染系统的*.exe、*.com、*.pif、*.src、*.ht ml、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，因此“木马”可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。

搜索硬盘中的*.EXE可执行文件并感染，感染后的文件图标会死机。

解决方案首先是拔下网线，以免病毒升级和变种传输使用PE系统启动删除所有盘符下的病毒文件如autorun.inf使用PE远程注册表查看启动文件并删除启动后使用sreng2删除掉多余的启动项和程序查找出启动的程序和文件删除如果无法删除请使用xdelbox从别的电脑下载drweb-cureit到本机查杀，进行C盘查杀查杀完成请安装drweb专业版升级最新并全盘扫描------------------------------------注意请关闭系统还原删除WINDOWS下的TEMP文件删除IE临时文件删除C:\Documents and Settings\用户名\Local Settings下的临时文件删除不掉的文件请使用xdelbox这个病毒困饶了我很多天，我也是刚刚才找到解决办法。

特此拿来和大家分享。

方法如下：下载一个叫unlocker的软件，很小的，然后安装。

C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。