Ahora mi computadora parece haber sido atacada por un caballo de Troya llamado "Telaoyi" (no hay respuesta a la escritura). ¿Qué tipo de virus es?

Caballo de Troya (Caballo de Troya), también conocido como puerta trasera, se llama “Trojan house” en inglés. Su nombre proviene de la mitología griega “Caballo de Troya”. Es una herramienta de hacking basada en control remoto. , caballo de Troya Sus características generalmente incluyen: ① Está incluido en el programa normal Cuando el usuario ejecuta el programa normal, se inicia y completa algunas operaciones que dañan al usuario sin que el usuario se dé cuenta. Tiene operación automática. ③ Tiene función de recuperación automática. ④Puede abrir automáticamente puertos especiales. ⑤Contiene funciones y programas que no se divulgan y pueden tener consecuencias peligrosas. Los caballos de Troya generalmente constan de dos programas: uno es el programa del servidor y el otro es el programa del controlador. Cuando su computadora ejecuta un servidor, un atacante malintencionado puede usar el programa controlador para ingresar a su computadora y controlarla ordenando el programa del servidor. Los piratas informáticos pueden usarlo para bloquear el mouse, registrar las pulsaciones de teclas del teclado, robar su contraseña, explorar y modificar sus archivos, modificar el registro, apagar, reiniciar de forma remota y otras funciones.

Tipos de troyanos: ①Troyanos de control remoto. Por ejemplo, el troyano de envío de contraseñas Glacier ②. Por ejemplo, QQ Trojan ③ Keylogging Trojan. Los troyanos generales tienen esta función ④ Troyanos destructivos. ⑤Agente troyano. Un caballo de madera que sirve de trampolín para el asador. ⑥Troyano FTP ⑦Troyano de puerto de rebote. En pocas palabras, es un troyano anti-firewall, como el troyano Network Thief⑧dll. Este es el último troyano que utiliza tecnología de inserción de procesos y es uno de los troyanos más difíciles de tratar. ⑨ Tipo integral.

Para evitar los troyanos, primero debes comprender los trucos comunes que se utilizan para implantar troyanos (muchos virus también utilizan el mismo método para propagarse, porque los troyanos también se consideran un tipo de virus):

1. Propagación de correo electrónico: Es probable que se le envíen troyanos en archivos adjuntos a su buzón de correo. Si lo descarga y ejecuta sin tomar ninguna medida, el troyano lo infectará. Por lo tanto, para los correos electrónicos con archivos adjuntos, es mejor no descargarlos ni ejecutarlos, especialmente aquellos con archivos adjuntos llamados *.exe, y desarrolle el hábito de escanear los archivos adjuntos con software antivirus.

2. Propagación de QQ: debido a que QQ tiene una función de transferencia de archivos, muchos troyanos ahora se propagan a través de QQ. Los vándalos maliciosos generalmente combinan el programa del servidor troyano con otros archivos ejecutables mediante la combinación de software y luego le mienten diciéndole que es algo divertido o una foto de PLMM. Si lo acepta y lo ejecuta, se convertirá en víctima del troyano. .

3. Descargar y difundir: al descargar software de algunos sitios web o foros personales, puede descargar cosas vinculadas a un servidor troyano. Por lo tanto, se recomienda que si desea descargar herramientas lo mejor es acudir a un sitio web conocido. Desarrolle también el hábito de escanear virus en el software descargado antes de descomprimirlo e instalarlo.

Como recordatorio, si el software antivirus detecta un virus, elimínelo inmediatamente. No crea que está bien no ejecutar estos archivos con caballos de Troya. El siguiente método de implantación de caballos de Troya está diseñado específicamente para tratar con personas que tienen esta idea.

4. Modificar la asociación del archivo. Este es uno de los métodos más comunes utilizados por los troyanos. Por ejemplo, en circunstancias normales, el método de apertura de un archivo txt es Notepad.exe (el Bloc de notas). Programa troyano. De esta manera, una vez que hace doble clic en un txt, el archivo se abrió originalmente con el Bloc de notas, ¡pero ahora se ha convertido en un programa troyano! Por supuesto, no sólo los archivos txt, sino también otros archivos como htm, exe, zip, com, etc. son el objetivo de los troyanos. Para lidiar con los troyanos de asociación de archivos, solo puede verificar la subclave "HKEY_CLASSES_ROOT\File Type\shell\open\command" para ver si el valor de su clave es normal.

5. Ejecute el implante directamente. Generalmente, esto se logra explotando las vulnerabilidades del sistema para ejecutar el troyano configurado en el host de destino. La estrategia de seguridad del sistema se explicará con más detalle más adelante.

6. Implantación de página web. El método más popular para instalar troyanos en la actualidad es también el asesino invisible comúnmente utilizado por los piratas informáticos, el llamado troyano web.

Los amigos que navegan con frecuencia por Internet han notado que al navegar por la web, el navegador mostrará varias ventanas emergentes a cada paso, entre las cuales la ventana 3721 es la más vista. El código fuente de estas ventanas contiene controles ActiveX. Si los controles internos no están instalados, dichas ventanas seguirán apareciendo en el futuro y las funciones de la página web no se realizarán. Aprovechando esto, se puede crear un control ActiveX y colocarlo en la página web. Siempre que el usuario elija instalarlo, automáticamente se descargará un programa troyano desde el servidor y se ejecutará, logrando así el propósito de implantar el troyano. . Los troyanos creados según este método son efectivos para cualquier versión de IE, pero al abrir una página web, aparecerá un cuadro de diálogo pidiendo al usuario que confirme si desea instalarlo. Mientras el usuario no lo instale, los piratas informáticos tendrán que hacerlo. nada que hacer. Por lo tanto, cuando aparezca un cuadro de diálogo preguntando si desea instalar un determinado software o complemento mientras navega por Internet, asegúrese de verificar claramente el sitio de origen de este mensaje. Si es un sitio web conocido, puede elegir instalarlo según las necesidades reales. Si es una URL relativamente rara o no vista o incluso la URL no se puede ver en absoluto, haga clic en "No" sin dudarlo y cierre el archivo. ventana. Otro tipo de troyano aprovecha principalmente una vulnerabilidad en la etiqueta Objeto HTML de Microsoft. La etiqueta Objeto se utiliza principalmente para insertar controles ActiveX en páginas HTML. Debido a que el cargador no verifica la naturaleza del archivo cargado de acuerdo con los parámetros que describen la ubicación de los datos del Objeto remoto, el troyano dentro de la página web se ejecutará silenciosamente. Para la URL marcada con DATOS, IE procesará los datos de acuerdo con el tipo de contenido en el encabezado HTTP devuelto por el servidor. Es decir, si el encabezado HTTP devuelve aplicación/hta, etc., entonces el archivo se puede ejecutar. independientemente de la seguridad de IE qué tan alto sea el nivel. Si un atacante malintencionado reemplaza el archivo con un caballo de Troya y modifica la dirección y el nombre del archivo del servidor FTP a su dirección de servidor FTP y la ruta del programa caballo de Troya en el servidor. Luego, cuando otros naveguen por la página web, aparecerá un mensaje de error "Error de secuencia de comandos de Internet Explorer", preguntando si se debe continuar ejecutando el error de secuencia de comandos en la página. Cuando se haga clic en "Sí", el troyano se descargará y ejecutará automáticamente. Los dos troyanos web anteriores mostrarán un cuadro de aviso de seguridad, por lo que no están lo suficientemente ocultos. Cuando se encuentre con esta situación, simplemente mire el sitio web de la fuente del mensaje y luego juzgue si es necesario hacer clic en "Sí" según corresponda. a la situación. También existe un tipo de troyano web que inserta código troyano directamente en el código fuente de la página web. Mientras la otra parte abra la página web, el caballo de Troya la infectará, pero aún no sabe nada al respecto. Me gustaría recordarles a los internautas que es mejor no visitar URL que nunca hayan visto antes (generalmente sitios web/foros personales).

Entonces, ¿cómo determinar si su computadora está infectada por un caballo de Troya? ¿Qué pasará cuando esté infectada por un caballo de Troya? Es difícil decirlo porque ocurren de muchas maneras diferentes.

Pero si tu calculadora se comporta de la siguiente manera, es probable que esté infectada con un virus hacker.

La calculadora a veces se congela y a veces se reactiva; cuando no se realiza ninguna operación, lee y escribe desesperadamente desde el disco duro; el sistema busca inexplicablemente la unidad de disquete y no se está ejecutando ningún programa grande; del sistema se vuelve cada vez más lento y muchos recursos del sistema están ocupados. Use CTRL + ALT + SUPR para abrir la lista de tareas y descubra que hay varios programas con el mismo nombre ejecutándose y el número puede aumentar con el tiempo. tiempo. (Sin embargo, algunos programas no aparecerán en esta lista. Los amigos que saben de programación deben saber que esto no es difícil de hacer y pueden verlo con la ayuda de PVIEW95). Especialmente después de conectarse a Internet o LAN, si su máquina presenta estos fenómenos, debe tener cuidado. Por supuesto, también puede haber otros virus en funcionamiento. Dado que la destrucción de programas troyanos suele requerir una combinación de dentro y fuera, la mayoría de los troyanos no dan tanto miedo como los virus. Incluso si se ejecuta, no necesariamente causará daños a su máquina. Sin embargo, el daño potencial sigue ahí. Por ejemplo, es posible que su contraseña de Internet haya terminado en la bandeja de entrada de otra persona.

También podemos utilizar el método de ver los puertos abiertos de la máquina para comprobar si nos han plantado troyanos u otros programas piratas.

Cuando navega por Internet, otras personas chatean con usted y envía correos electrónicos, debe tener un protocolo diferente. Este protocolo es el protocolo TCP/IP. La comunicación de cualquier software de red se basa en el protocolo TCP/IP. Si se compara Internet con una red de carreteras, la computadora es una casa al borde de la carretera. La casa debe tener una puerta antes de poder entrar y salir. El protocolo TCP/IP estipula que la computadora puede tener 256*256 puertas. , "puertas" numeradas del 0 al 65535. TCP El protocolo /IP lo llama "puerto". Cuando envía un correo electrónico, el software de correo electrónico envía la carta al puerto 25 del servidor de correo. Cuando recibe el correo electrónico, el software de correo electrónico recibe la carta a través de la puerta del puerto 110 del servidor de correo. Lo que vemos ahora es el puerto 80 que ingresa al servidor. El número de puerto abierto en la computadora personal recién instalada es el puerto 139. Cuando navega por Internet, se comunica con el mundo exterior a través de este puerto. Los piratas informáticos también obtienen acceso a su computadora a través de puertos. Por lo tanto, podemos utilizar el método de ver los puertos abiertos de la máquina local para comprobar si nos han colocado troyanos u otros programas piratas. La siguiente es una introducción detallada al método:

①El comando netstat que viene con Windows.

Este comando muestra estadísticas de protocolo y conexiones de red TCP/IP actuales. Este comando sólo se puede utilizar si el protocolo TCP/IP está instalado.

netstat [-a] [-e] [-n] [-s] [-p protocolo] [-r] [intervalo]

-a muestra todas las conexiones y la detección Escuche el puerto. Las conexiones del servidor normalmente no aparecen.

-e muestra estadísticas de Ethernet. Este parámetro se puede utilizar junto con la opción -s.

-n Muestra la dirección y los números de puerto en formato numérico (en lugar de intentar buscar nombres).

-s muestra estadísticas para cada protocolo. De forma predeterminada, se muestran estadísticas para TCP, UDP, ICMP e IP. La opción -p se puede utilizar para especificar un subconjunto predeterminado.

-p protocolo muestra las conexiones para el protocolo especificado por protocolo puede ser tcp o udp. Si se usa con la opción -s para mostrar estadísticas por protocolo, el protocolo puede ser tcp, udp, icmp o ip.

-r muestra el contenido de la tabla de enrutamiento.

intervaloVuelve a mostrar las estadísticas seleccionadas, pausando el intervalo de segundos entre cada visualización. Presione CTRL B para dejar de volver a mostrar estadísticas. Si se omite este parámetro, netstat imprimirá la información de configuración actual una vez.

Si se encuentran puertos anormales, es posible que los puertos comúnmente utilizados por los troyanos estén ocupados. Desconéctese inmediatamente de Internet y utilice la base de datos de virus para actualizar al software antivirus más reciente y comprobar si hay virus.

②La herramienta de línea de comandos fport que funciona en Windows 2000

Fport es una herramienta producida por FoundStone que se utiliza para enumerar todos los puertos TCP/IP y UDP abiertos en el sistema, así como como sus aplicaciones correspondientes que contienen la ruta completa del programa, identificación PID, nombre del proceso y otra información. Para usarlo desde la línea de comando, consulte el ejemplo:

D:\gt;fport.exe

FPort v1.33 - Proceso TCP/IP a Port Mapper

Copyright 2000 de Foundstone, Inc.

.yeah.net descarga el simulador de infección de virus.

Si en tu ordenador ocurre la situación anterior, no lo dudes y sigue los siguientes pasos:

1: Desconecta la red inmediatamente.

2: Busque un disco de sistema DOS "limpio" para iniciar la computadora. En este momento, recuerde desactivar la protección contra escritura de este disco.

3: Utilice un software antivirus para comenzar a buscar virus.

4: Si se detecta envenenamiento de archivos, hay tres formas de solucionarlo: eliminar el archivo, cambiarle el nombre o eliminar el virus. Recuerde: nunca deje un archivo envenenado solo, especialmente si permanece en un archivo ejecutable.

5: Si se detecta un virus en la partición del disco duro o en el área de inicio, puede usar el comando FDISK en un disco DOS limpio y ejecutar el comando FDISK/MBR para restaurar la información de inicio del disco duro; ejecute A:/gt; SYS C: (C: es el disco envenenado) en la unidad A para rescatar los datos en el área de inicio del disco duro.

6: Ahora, puede reconstruir archivos, reinstalar software o preparar datos de respaldo. Recuerde que los datos de respaldo deben escanearse antes de volver a importarlos al sistema, por si acaso.

7: Recuerda reconstruir el documento antes de comenzar a ejecutarlo. Se debe escanear todo el sistema nuevamente para evitar que los archivos envenenados se almacenen accidentalmente nuevamente en el sistema.

8: Ahora puedes empezar a utilizar el ordenador con tranquilidad.

(6) Riesgos de seguridad del sistema Windows

Muchos sistemas tendrán vulnerabilidades de seguridad (errores) de un tipo u otro, algunas de las cuales son inherentes al sistema operativo o al propio software de la aplicación. Como los ataques de desbordamiento de búfer, las vulnerabilidades de verificación de contraseñas de directorios compartidos en Windows 98 y las vulnerabilidades de IE5, antes de que se desarrollen los parches, estas vulnerabilidades generalmente son difíciles de evitar que los piratas informáticos destruyan a menos que desconecte el cable de red y se utilicen otras vulnerabilidades de protocolo para atacar. Por ejemplo, un atacante utiliza la vulnerabilidad de que POP3 debe ejecutarse en el directorio raíz para lanzar un ataque, destruir el directorio raíz y obtener privilegios de superusuario. Algunas vulnerabilidades son causadas por una mala configuración o negligencia del administrador del sistema. sistema de archivos, llamar directorios y archivos de manera que se pueda escribir y almacenar contraseñas de usuario no ocultas en un directorio determinado en código claro brindará oportunidades a los piratas informáticos.

Medidas de precaución: ① Los usuarios individuales recomiendan Windows XP Professional. Este sistema operativo, conocido como el sistema operativo más estable de la familia Windows, se basa en la integración del kernel NT. En comparación con versiones anteriores, tiene características de seguridad más seguras y confidenciales. han fortalecido en gran medida la capacidad del usuario para establecer coeficientes de seguridad y entorno del sistema confidencial. ②Parchear el sistema a tiempo. Puede utilizar la "actualización de Windows" que viene con Windows. Se recomienda actualizar al menos una vez por semana y prestar más atención a los anuncios de seguridad en el sitio web oficial. ③Instale software antivirus y firewall. Es muy recomendable actualizarlo al menos una vez por semana.

Además, también debemos aprovechar al máximo las funciones de seguridad de Windows XP para realizar algunas configuraciones de seguridad necesarias: ① Utilice el cortafuegos de conexión a Internet gratuito que viene con XP. ②Utilice el IE6.0 integrado de Windows XP para proteger la privacidad personal. Podemos definir opciones de parámetros específicos para revelar información personal en IE6.0 Cuando los usuarios navegan por Internet, el navegador determinará automáticamente el nivel de seguridad y confianza de los sitios que visitan y limitará el uso de información según los parámetros de circulación de privacidad preestablecidos. . ③Utilice el cifrado del sistema de archivos cifrados (EFS). En Windows XP, EFS utiliza el estándar de cifrado de datos extendido como algoritmo de cifrado que genera automáticamente un par de claves y certificados para los usuarios y se basa en el cifrado de clave pública mediante la utilización de la estructura CryptoAPI. La carpeta cifrada restringirá e identificará si el usuario tiene acceso ilegal. Solo el usuario que cifró el archivo puede abrirlo y usarlo. Para cifrar archivos, primero debe tener una partición NTFS, luego hacer clic con el botón derecho en la carpeta que desea cifrar y, en la columna "General" de las propiedades de la carpeta emergente, seleccionar "Avanzado" → "Cifrar contenido para proteger datos" → "Aceptar" → “Aplicar cambios a esta carpeta, subcarpetas y archivos” → “Aceptar”, para que las carpetas, subcarpetas y archivos estén cifrados. Cabe señalar que después de cifrar la carpeta, debes crear una clave de respaldo por si acaso. ④ Proteja los componentes de servicio innecesarios.

Los numerosos servicios de XP permiten a los usuarios disfrutar de servicios sin precedentes, pero por varias razones, todavía hay solo unos pocos componentes que los usuarios realmente pueden usar a diario, lo que resulta en una enorme pérdida de recursos del sistema y ciertos riesgos de seguridad, e incluso los piratas informáticos. También intentará algunas intrusiones basadas en esto, por lo que bloquear algunos componentes del servicio que aún no son necesarios es una parte importante de la configuración de seguridad.