首杀木马

新马通缉令:ms08067漏洞利用木马:探路者中毒现象:当木马进行溢出攻击时,用户CPU和内存会出现占用率非常高情况,木马运行时有一定几率出现死机现象。木马会在开机时出现svhostdll.dll进程,当系统正常开启后进程消失。瑞星杀毒软件2008(病毒库更新:2008.11.11):杀毒软件在病毒程序运行时提示注册表被修改,     

半月病毒播报

病毒名称:"西游木马变种AJQ(Trojan.PSW.Win32.XYOnline.ajq)"病毒病毒类型:盗号木马影响平台:Windows NT/2000/XP/2003该木马运行后,在系统目录下释放msosdohs00.Dll、msosfpids32.Sys病毒文件,修改注册表实现随系统启动。不断搜索杀毒软件进程,并试图将其强行关闭,使得某些杀     

首杀木马

新马通缉令:"摩登王"变种C木马后门杀毒软件测试:瑞星2008(病毒库更新:2008.05.26):木马无法正常运行时,但无法完全清除木马的DLL文件。卡巴斯基(病毒库更新:2008.05.26):木马运行时被完全查杀。江民KV2008(病毒库更新:2008.05.25):木马运行时杀毒软件无反应,当木马注入到explorer exe时,杀毒提示内存错误,但木马依旧运行。     

首杀木马

新马通缉令:"反病毒杀手"变种t杀毒软件测试:瑞星2008(病毒库更新:2008.06.06):木马运行时有报警,随后杀毒软件被强制关闭,无法再次开启。卡巴斯基(病毒库更新:2008.06.06):木马做过针对性加密,杀毒软件无法发现木马,杀毒软件在重启后无法运行。江民KV 2008(病毒库更新:2008.06.05):木马运行时有报警,木马能正常运行,杀毒软件也可以正常运行。Avira(病毒库更新:2008.06.05):木马可正常释放病毒体,在调用hbkernel.sys时杀毒软件     

首杀木马

新马通缉令:"超级后门RUCT版"强制性后门木马杀毒软件测试:瑞星2008(病毒库更新:2008.07.20):木马正常运行,但木马修改注册表时有提醒非法操作并阻止。卡巴斯基(病毒库更新:2008.07.21):木马运行时候被查杀,并有对应的木马程序描述。江民(病毒库更新:2008.07.20):木马在运行时无反应。     

首杀木马

新马通辑令:"红心大盗"图片木马杀毒软件测试:瑞星(病毒库更新2008.04.20):未检测出木马,监控系统被劫持。卡巴斯基(病毒库更新2008.04.20):监控系统被劫持,但木马在内存中运行时有提示,并删除了未加密的副本probell.exe文件。McAfee(病毒库更新super data5260):木马运行时候被查杀,但监控系统被劫持需重新启动恢复。江民(病毒库更新2008.04.20):木马运行时未被删除但木马无法正常运行。监控系统正常(木马劫持列表中无江民)。     

首杀木马

新马通缉令:"迷"后门木马中毒现象:当用户访问带有非法木马的网页时会弹出一个错误为0的错误提示窗。木马运行时可能出现计算机无故重新启动的现象,并在重启后在系统进程中加载:msvcrt21.dll文件。     

另类招法Excel剿灭DLL木马

DLL木马是依靠DLL文件来作恶的,木马运行时不会在进程列表出现新的进程,而且很多DLL木马还插入到系统关键进程中(无法终止),即使能被杀毒软件检测出来也无法查杀,这给系统安全带来极大的威胁。如果你的手头没有趁手的杀马兵器,抄起办公的Excel我们也可以肉搏一番。下面就看看我们是如何用Excel对付这种插入lsass.exe进程的木马吧!STEP1查找被感染的进程近日开机上网一段时间后就觉得网速特别的慢,于是便运行“netstat-a-n-o”查看开放的端口和连接,其中进程PID为580发起的连接极为可疑:状态为ESTABLISHED,表示两台机器正在通信(…     

一种检测傀儡进程的方法研究

文章描述了上兴木马进程伪装欺骗的过程,分析了上兴木马将常规进程内存内容替换变为傀儡进程,用傀儡进程运行木马的原理,提出了用句柄分析法对抗傀儡进程的方法,并用两种实验的方法验证了句柄分析法的正确性。     

如何准确的查找出木马假冒的系统进程

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,又如何准确的查找出木马假冒的系统进程呢?     

从进程中判断出病毒和木马

任何病毒和木马存在于系统中．都无法彻底和进程脱离关系，即使采用了隐藏技术．也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程。而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？     

首杀木马

新马通缉令:Web网游盗窃者(盗窃类木马)中毒现象:当木马运行时,会自动弹出一个空白的Web窗口,并在短时间内自动关闭。如果电脑上安装有联众大厅,则会同时弹出一个内容为"1111"的警告栏,需要手工关闭(这个操作会导致木马定义到联众的消息窗口API值)。瑞星杀毒软件2009(病毒库更新:2009.1.14):木马程序运行时软件会提示注册表被修改,但木马能正常运行,杀毒     

首杀木马

新马通缉令:"夸风"木马下载器杀毒软件测试:瑞星2008(病毒库更新:2008.08.5):木马修改注册表时提醒非法操作并阻止,但杀毒软件监控系统被木马强行禁止,需重新开启。卡巴斯基(病毒库更新:2008.08.5):木马在运行时无反应,杀毒软件监控系统被木马强行禁止,需重新开启。     

基于远程线程插入DLL技术的嵌套式木马设计

设计了一种嵌套式木马,并采用远程线程插入DLL技术,该木马可以无进程运行。它能够将功能强大的木马上传到目标主机中,并保护其安全地隐藏和运行,在对敌网络作战中可以达到长期有效地控制目标主机的目的。     

首杀木马

新马通缉令:KEY网关木马(后门木马)中毒现象:木马进行溢出攻击时,部分杀毒软件会出现自动关闭的现象,木马会在服务中添加一个"rstray.exe"进程,如果电脑里装有Foxmail等邮件软件,会出现它们自动开启的现象。     

首杀木马

新马通缉令:"星辰终结者"僵尸病毒与后门木马混合型远程终端程序杀毒软件测试:瑞星2008(病毒库更新:2008.06.20):木马正常运行,但木马修改注册表时有提醒非法操作并阻止。     

“文件夹隐藏者”病毒的分析与处理

据反病毒专家介绍,文件夹隐藏者(Trojan)病毒系采用RootKit技术隐藏自身进程的木马。该木马采用Delphi工具编写,以使自己可以与系统一起运行,病毒主要感染Win NT以上的WINDOWS操作系统。该木马文件最大的隐蔽之处就是会遍历硬盘或U盘里面的文件夹,并且将原来的文件夹隐藏起来。     

首杀木马

新马通缉令:"恐怖天使"远程控制天使变种R杀毒软件测试:瑞星2008(病毒库更新:2008.08.20):木马运行时出现弹出窗口,杀毒软件无反应,但在写入内存时提示非法操作,不过木马依旧运行。卡巴斯基(病毒库更新:2008.08.21):由于     

基于用户行为的网络数据过滤方法

网络数据过滤是防御木马的一项重要技术,提出一种基于用户行为来过滤网络数据的新方法.该方法通过进程将用户操作行为与网络数据进行关联,允许用户操作过的进程收发网络数据,不需要人工干预就可以过滤网络数据.实践表明该方法防御以单独进程形态运行的木马比较有效,并且不怕木马变形,有利于构建高效的防御系统.     

察颜色 识进程 保安全

无论病毒木马进程隐蔽效果多好,我们总能找到办法将潜藏的它们识别出来!这不,借助一些专业的进程查看程序,菜鸟级用户只要学会观察颜色,就能轻松识别出威胁进程,并能十分方便地删除顽固病毒进程,确保系统运行安全无忧!目前,许多狡猾的病毒木马程序攻击计算机时,往往会将自身伪装成进程或服务,隐蔽在系统后台,这对菜鸟级别的电脑用户来说,根本无法分辨出系统中究竟哪些进程是病毒木马进程,更不要说去如何对付这些危险进程了。这么说来,面对隐蔽的病毒木马进程,菜鸟级用户就无法对付它们了吗?其实,无论病毒木马进程隐蔽效果多好,我