Cómo lidiar con los vídeos troyanos
1. Utilice Rising Vulnerability Scanner para corregir automáticamente la vulnerabilidad (descargue el parche e instálelo)
2. el parche de actualización del sistema (start-?\\\ \
2. ¿Qué son los virus informáticos y los troyanos?
Un virus informático es un programa y un fragmento de código ejecutable. Interactúa con varios software que usamos comúnmente, como reproductores y software de chat QQ, etc. son todas aplicaciones. La diferencia entre los virus informáticos y las aplicaciones comunes es que generalmente son contagiosos, ocultos y destructivos. medio (o programas) de almacenamiento informático de cierta manera Un conjunto de programas o instrucciones que tienen el efecto de destruir los recursos informáticos cuando se activa una determinada condición
caballo de Troya (en adelante, caballo de Troya). Se llama "casa de Troya" en inglés y su nombre proviene de la mitología griega. Es una herramienta de piratería basada en control remoto y tiene las características de ocultación y no autorización. El programa del caballo de Troya generalmente consta de dos partes: el cliente (Cliente) y el servidor (Servidor). El cliente es ejecutado por el hacker en su propio host. El cliente puede enviar varios comandos al servidor y controlar la computadora del servidor. son ambas aplicaciones, y la característica principal de los virus es la infección sexual y destructiva, la característica principal de los troyanos es el control remoto. Los troyanos son potencialmente más peligrosos que los virus.
3. p>
Como sugiere el nombre, las vulnerabilidades de la computadora son fallas en la programación del software de la computadora, lo que deja peligros ocultos que pueden usar las vulnerabilidades de la computadora para controlar completamente el sistema operativo de Microsoft. Los principales sistemas operativos de Microsoft son: MS-DOS, Windows 98/Me: MS-DOS, Windows 98/Me, Windows NT, Windows 2000, Windows XP, Windows 2003, etc.), las vulnerabilidades más famosas incluyen la vulnerabilidad de desbordamiento MS05039, MS0601. motor de representación de gráficos que conduce a vulnerabilidades de ejecución remota de código, AYUDA a controlar la ejecución de código entre dominios Vulnerabilidades, etc., los piratas informáticos alguna vez utilizaron estas vulnerabilidades para provocar la proliferación de virus de Internet
4. de troyanos populares
1. Troyano que roba contraseñas, aquí usamos el troyano que roba QQ "Ala "QQ Thief" como ejemplo:
Ala QQ Thief es un troyano muy popular. programa caballo de Troya en Internet Al inicializar y configurar el programa caballo de Troya, el programa caballo de Troya se puede generar automáticamente. Si su computadora desafortunadamente ejecuta este programa, no hay necesidad de preocuparse por el programa de caballo de Troya. este programa, su QQ se cerrará por la fuerza dentro del tiempo especificado. Cuando vuelva a iniciar sesión en QQ, este programa troyano robará silenciosamente su número y contraseña y lo enviará al programa receptor designado por el autor del troyano. , su número QQ ya no le pertenece.
2. Troyano de control remoto, aquí está el temido "Gray Pigeon" como ejemplo:
Gray Pigeon es un software de control remoto muy famoso, que se compone de servidor y control. El final consta de dos partes. Es un programa troyano de tipo puerto de rebote. Cuando su computadora, lamentablemente, llega al servidor Gray Pigeon, el servidor enviará automáticamente una solicitud de conexión a la dirección establecida por el creador del troyano. Cuando el servidor establece una conexión de red con el cliente, el creador del troyano. Puede controlar completamente su computadora, incluido el robo de contraseñas (como robar su cuenta de banda ancha para consumo en línea), monitoreo de pantalla (los creadores de caballos de Troya pueden monitorear de forma remota), etc. El autor del troyano puede ver de forma remota su escritorio y saber exactamente lo que está haciendo), descargar datos (puede robar toda su información), formatear el disco duro (borrando todos sus datos), abrir videos de forma remota (si instala una cámara, la otra parte puede abrir silenciosamente su video sin que usted lo note, y su verdadero yo aparecerá frente al hacker).
5. La propagación de troyanos y virus
A través de la introducción anterior, creo que todos tienen una cierta comprensión de los peligros de los troyanos y los virus. Quizás se pregunte: ¿Qué son los troyanos? y virus? ¿Cómo entraste en mi computadora? A continuación daré una breve introducción a los principales canales de transmisión de troyanos y virus.
1. Se propaga a través de medios de almacenamiento de hardware
Como se mencionó anteriormente, los virus informáticos son contagiosos con la replicación automática, por lo tanto, si son discos U, MP3, tarjetas SD, disquetes y discos duros móviles. , etc. se mueven. Si un dispositivo de almacenamiento está conectado a una computadora infectada con virus, él mismo puede estar infectado con virus. Si está conectado a una computadora que no está infectada con virus, la computadora también puede estar infectada con virus.
1. Si su computadora no está infectada con un virus, su computadora también puede estar infectada con un virus.
2. Propagación a través de LAN ****sharing
La vulnerabilidad de las computadoras se mencionó anteriormente, y IPC ****sharing de Microsoft tiene una vulnerabilidad grave que muchos virus pueden infectar automáticamente. todas las computadoras en la LAN a través del uso compartido predeterminado de IPC. (Usamos IPC para lograr acceso directo a impresoras y acceso directo a archivos en la LAN)
3 mediante paquete con software de aplicación
Comparación de este método. Los creadores de troyanos complejos agrupan el programa troyano en software de aplicación más utilizado, como Photoshop, QQ, RealPlayer, Word, Word, etc., y luego colocan este software de aplicación troyano incluido en Internet para que los usuarios lo descarguen y lo descarguen. instale este software, el programa troyano incluido se instalará en su computadora al mismo tiempo y no podrá detectar este proceso.
4. A través de un archivo adjunto de correo electrónico
Los creadores de troyanos pueden enviarle directamente el programa troyano como un archivo adjunto y utilizar conocimientos de ingeniería social para engañarlo para que abra el archivo adjunto, como cuando su Los compañeros te la envían. Publicé una nueva foto, si lo crees, puedes caer en la trampa. Aún se puede evitar el envío directo de un programa troyano para personas con un poco de conocimiento de la seguridad de la red, ya que el programa troyano es una aplicación, por lo que su sufijo debe ser .EXE. Los troyanos más avanzados que envían archivos adjuntos son bastante inteligentes. Por ejemplo, se puede engañar a los troyanos cambiando el ícono de un archivo de imagen o el ícono de un documento de Word. ¡También pueden usar comandos de macro en Word! Este troyano se escribe directamente en el documento de Word, lo que dificulta su detección.
5. Difundir a través de troyanos web
¿Qué es un troyano web? Respuesta: Los troyanos web utilizan vulnerabilidades informáticas para crear páginas web con funciones especiales. Cuando abre esta página web y su computadora tiene vulnerabilidades en esta página web, su computadora descargará automáticamente el programa troyano del sitio web designado y lo ejecutará. automáticamente. Todo esto se hace en un estado oculto. Para usted, acaba de abrir una página web y no realizó ninguna otra operación, pero su computadora ha sido infectada. En comparación con otros medios de comunicación, ¡este medio de comunicación es el más eficiente! Aproximadamente el 90% de los programas troyanos se propagan a través de troyanos web. Tal vez digas que nunca has estado en ningún sitio web irregular, ¿cómo pudiste envenenarte? De hecho, muchos sitios web tienen actualmente varias vulnerabilidades y los piratas informáticos pueden utilizar estas vulnerabilidades para invadir el sitio web. Los sitios web grandes y conocidos como NetEase, Sohu y Sina han sido atacados por piratas informáticos y sus páginas de inicio han sido manipuladas. Si los sitios web que han sido pirateados agregan un código de caballo de Troya que llama a las páginas web a las páginas de inicio de estos sitios web, es posible que un caballo de Troya lo ataque cuando navegue por el sitio web.
6. Los troyanos web se propagan a través de correos electrónicos
Antes mencionamos seis tipos de troyanos web, por lo que los troyanos web de correo electrónico, como su nombre indica, son troyanos web que se propagan a través de correos electrónicos. editando el código fuente del correo electrónico, puede enviarle un correo electrónico en formato web. Este tipo de correo electrónico con código troyano web agregado al código fuente del formato de correo electrónico se llama troyano web de correo electrónico. Este tipo de correo electrónico no tiene web. Troyanos, y este tipo de correo electrónico tampoco es un troyano web. No hay archivos adjuntos de correo electrónico en el troyano web de correo electrónico. ¡Siempre que abra el correo electrónico, no será necesario realizar ninguna otra operación! Su ventaja sobre los troyanos web es que puede enviar objetivos específicos a direcciones de correo electrónico específicas para atacar.
7. Difusión de troyanos web a través de archivos de vídeo
No sé si alguna vez has tenido una experiencia así. Después de descargar una película favorita, de repente aparece una página web mientras la miras. Esta página web puede ser un troyano web (o puede ser simplemente un anuncio). Puede agregar este archivo de video al evento y dejar que abra una página web cuando se reproduzca en un momento específico. Troyano, puede agregar este archivo de video al evento, puede hacer que abra una página web cuando la reproducción alcance el tiempo especificado. Si la página web que abre es un troyano web, su computadora estará infectada a partir de ahora. Este tipo de troyano se encuentra comúnmente en algunos sitios web pequeños e informales que ofrecen descargas de películas o visualización de BT y otros vídeos.
6. Cómo funcionan el software antivirus y los cortafuegos
Una base importante para que el software antivirus elimine virus se basa en la firma definida en su propia base de datos de virus. llamado firma es exclusivo de un determinado segmento de código, la firma de virus es el código exclusivo de un determinado virus. Cuando el software antivirus desinfecta un archivo, debe verificar los códigos en el archivo uno por uno. El archivo contiene una firma de virus, una vez que descubre que el archivo contiene una determinada firma de virus, se considera un virus, independientemente de si el archivo es un virus o no. El software antivirus más avanzado suele definir dos características del mismo virus: características del archivo y características del código de memoria. Cuando el programa se ejecuta en la memoria, el código en la memoria es diferente del archivo en sí. Algunos archivos no se pueden encontrar en busca de virus si se verifican directamente con un software antivirus, pero una vez que se ejecutan, se encontrarán. ser virus. Esta es la razón.
"¿Los piratas informáticos intentarán engañarme?" Piénselo de esta manera: los piratas informáticos son como moscas en las grietas de los huevos. Cuando ven un destello de luz de una vulnerabilidad del sistema, estarán listos para atacar. ¡acción! Bien, entonces, ¿cómo proteges tu red? Los expertos en informática pueden sugerirle que instale un firewall en su red tan pronto como abran la boca, por lo que surge la primera pregunta: ¿Qué es exactamente un firewall? Un firewall es un tapón de filtrado (hasta ahora, tienes razón) que te permite dejar pasar las cosas que te gustan y filtrar todo lo demás. En el mundo online, los cortafuegos filtran paquetes que contienen datos de comunicación. Cada firewall dice al menos dos palabras: Sí o No: la mayoría de los firewalls utilizan una variedad de tecnologías y estándares. Estos firewalls vienen en varias formas: algunos reemplazan la pila de protocolos TCP/IP ya equipada en el sistema; otros construyen sus propios módulos de software basados en la pila de protocolos existente; otros son simplemente un sistema operativo independiente. También existen firewalls basados en aplicaciones que solo protegen tipos específicos de conexiones de red (como protocolos SMTP o HTTP, etc.). También existen algunos productos de firewall basados en hardware que en realidad deberían clasificarse como enrutadores de seguridad. Todos los productos anteriores pueden denominarse firewalls porque funcionan de la misma manera: analizan los paquetes que entran y salen del firewall y deciden si los dejan pasar o los descartan. Vale la pena señalar que cada vez que intenta acceder a Internet, su firewall dirá "SÍ" a ciertos programas y puertos, dejándolos pasar.
7. Tan alto como el camino, tan alto como el diablo, ¿cómo escapan los virus troyanos a la interceptación y detección de firewalls y software antivirus?
Como se mencionó anteriormente, Una base importante para el software antivirus son los códigos característicos. Entonces, si un programa no contiene todos los códigos característicos definidos en la base de datos de virus, el software antivirus, naturalmente, no pensará que el programa es un virus. Los maestros piratas informáticos generalmente crean primero un caballo de Troya o un programa de virus, usan varios programas antivirus para verificarlo y eliminarlo, y luego obtienen la definición del código de función del programa de varios programas antivirus, y luego modifican el código de función y cambian el código del código de función en el código de otros programas para lograr la misma función. Después de repetidos ataques y modificaciones por parte de la mayoría del software antivirus, el virus puede escapar con éxito de varios programas antivirus. Como se mencionó en la sección anterior, siempre que desee conectarse, ¡puede hacerlo! Como se mencionó anteriormente, siempre que desee acceder a Internet, el firewall liberará ciertos programas (como el navegador IE) y puertos. En este momento, los virus y troyanos generalmente se pueden insertar en el proceso del sistema a través de subprocesos. El puerto 80 se utilizará para la conexión remota (puerto predeterminado del servicio WEB), por lo que siempre que su computadora pueda acceder a Internet, el programa troyano funcionará como un firewall. Para los maestros de los piratas informáticos, el firewall también liberará programas troyanos comunes. Para los maestros piratas informáticos, el software antivirus y los firewalls comunes (software antivirus y firewalls utilizados por usuarios comunes) son algo trivial y no les sirven de nada. Así que no sea complaciente cuando utilice un software antivirus para escanear todos sus discos duros y no encuentre ningún virus. Es muy probable que ya haya realizado un tratamiento gratuito para los virus, por lo que incluso si ha sido envenenado, su antivirus. El software antivirus hará la vista gorda.
8. Tecnología de ocultación del caballo de Troya, donde se esconde el programa del caballo de Troya
No importa cuán misterioso sea el programa del caballo de Troya, en el análisis final sigue siendo un programa bajo la plataforma Win32. . Las aplicaciones Win32 suelen tener una interfaz de programa de aplicación. Por ejemplo, la "calculadora" que viene con el sistema proporciona interfaces de programa de aplicación para varios botones numéricos. Aunque el troyano es una aplicación Win32, generalmente no contiene formularios ni formularios ocultos, y el atributo del archivo troyano está configurado como "oculto". Este es el método de ocultación más básico. Un usuario con poca experiencia solo necesita abrir "Administración de tareas". "Procesador" y marque "Mostrar todos los archivos" en "Opciones de carpeta" para encontrar fácilmente el troyano, por lo que se presenta la tecnología de "ocultamiento de procesos" a continuación.
La primera tecnología para ocultar procesos: puerta trasera de Windows 98
En Windows 98, Microsoft proporciona un método para registrar un proceso como un proceso de servicio. Aunque Microsoft no ha proporcionado públicamente los detalles técnicos de implementación de este método (porque este mecanismo no se proporciona en versiones posteriores de Windows), algunos expertos han descubierto el secreto. Este método se llama RegisterServiceProcess. Al explotar este método, el proceso de cualquier programa puede registrarse como un proceso de servicio, y el Administrador de tareas en Windows 98 no se puede mostrar, por lo que el troyano aprovecha esto.
La segunda generación de tecnología de ocultación de procesos: inserción de procesos
Un proceso puede contener múltiples subprocesos (Threads), y los subprocesos pueden ayudar a la aplicación a hacer varias cosas al mismo tiempo (por ejemplo , un hilo puede El disco escribe un archivo y el otro recibe las pulsaciones de teclas del usuario y responde a tiempo sin interferir entre sí. Al comienzo de la ejecución del programa, lo que el sistema tiene que hacer es darle un archivo al programa. Después de que se ejecuta el programa, lo primero que hace el sistema es crear un subproceso predeterminado para el proceso y luego el programa puede agregar o eliminar subprocesos según sea necesario.
Una vez que el troyano DLL se inserta en el espacio de direcciones de otro proceso, puede hacer lo que quiera con el otro proceso. El troyano que roba contraseñas QQ aquí es una explicación simple.
Generalmente, después de que una aplicación recibe operaciones de teclado y mouse, otras aplicaciones no tienen derecho a "interferir".
Pero, ¿cómo pudo el troyano registrar mi contraseña en secreto? El troyano primero inserta un archivo DLL en el proceso QQ y se convierte en un hilo en el proceso QQ. De esta manera, el DLL del troyano pasa a formar parte de QQ. Luego, cuando el usuario ingresa la contraseña, dado que el DLL troyano ha ingresado al proceso QQ en este momento, puede recibir la contraseña pasada por el usuario a QQ. ¡Es realmente "difícil protegerse contra un ladrón"!
No creas lo que ves: el horror de la "evaporación" del proceso
Estrictamente hablando, esto debería considerarse como la tecnología de ocultación de procesos de 2.5ª generación, pero es mucho más aterrador que la tecnología anterior. ¡Hace que el troyano desaparezca sin insertarse en otro proceso!
Utiliza tecnología Hook para monitorear las llamadas API relacionadas con todos los programas y la detección de procesos en el sistema. La razón por la que el "Administrador de tareas" puede mostrar todos los procesos en el sistema es porque llama a EnumProcesses y otras funciones API relacionadas con el proceso, y la información del proceso se incluye en el resultado de devolución de la función. de la función. , el programa que emitió la solicitud de llamada recibirá y procesará el resultado (por ejemplo, el administrador de tareas lo mostrará en la lista de procesos al recibir el resultado)
El troyano ha comprobado la API. función de antemano, por lo que cuando el "Administrador de tareas" (u otro programa que llame a la función de enumeración de procesos) llame a la función EnumProcesses (en este momento la función API actúa como una "respuesta interna"), el troyano recibirá una notificación y el resultado (enumera todos los procesos) antes de regresar al programa, borra su propia información de proceso del resultado devuelto. Esto es como si alguien, sin saberlo, conectara el televisor al DVD mientras mira un programa de televisión.
Por lo tanto, ya sea que se trate del "Administrador de tareas" o de un software antivirus, intentar detectar el proceso de este troyano es inútil. Actualmente no existe una forma efectiva de eliminar este troyano Detectar archivos troyanos antes de que se ejecute el software antivirus. Para evitar que el virus se ejecutara, también existía una técnica en la que el programa troyano eliminaba su propia información de proceso de la "lista vinculada de procesos" que registra la información de proceso en el sistema Windows, de modo que la herramienta de gestión de procesos no podía. Obtenga la información del proceso del troyano de la "Lista de enlaces de procesos". Sin embargo, debido a la falta de versatilidad de la plataforma de este programa, también existen algunos problemas durante el tiempo de ejecución, por lo que no se usa ampliamente.
¿Qué es un gancho? "Es un mecanismo del sistema proporcionado por Windows para reemplazar la "interrupción" de DOS. La traducción al chino es "gancho" o "gancho". Utilice Hook en eventos específicos del sistema (incluida la API específica mencionada anteriormente). eventos de llamada de función), una vez que se engancha el evento, el programa Hook en el evento (como un programa troyano) recibirá una notificación del sistema. En este momento, el programa puede responder al evento lo antes posible (el. El programa troyano regresará antes de que se obtengan los resultados modificados de la función).
Traceless: ocultación tridimensional completa
Utilizando el método de proceso de ocultación Hook que acabamos de presentar, los troyanos pueden ocultar archivos fácilmente aplicando la tecnología Hook a los archivos. Se puede utilizar la función API. , de modo que ni el "Administrador de recursos" ni el software antivirus puedan descubrir dónde se encuentra el troyano. Lo que resulta aún más sorprendente es que ya existen troyanos (como Gray Pigeon) que utilizan esta tecnología para ocultar archivos y procesos. La mejor manera de evitarlo es utilizar un software antivirus para bloquearlo antes de que se ejecute.
Tratamiento del software antivirus: shell antivirus
No importa cuán astuto sea el caballo de Troya, una vez que el software antivirus define las características del código, será interceptado antes de correr. Para evitar que el software antivirus los detecte y los elimine, a muchos troyanos se les añaden shells, lo que equivale a ponerles una prenda de vestir, haciéndolos irreconocibles para el software antivirus. Sin embargo, algunos programas antivirus sí lo harán. intenta usar proyectiles comunes y luego detectarlos y matarlos (muestra, no creas que no te reconoceré si te pones un chaleco).
Además del ocultamiento pasivo, recientemente se ha descubierto que los shells pueden competir activamente con el software antivirus. Una vez que el troyano se ejecuta en el shell, el shell primero obtiene el control del programa y destruye el software antivirus instalado en el sistema. a través de varios medios, y finalmente Después de confirmar la seguridad (la protección del software antivirus se ha roto), el shell libera el caballo de Troya envuelto en su propio "cuerpo" y lo ejecuta. La forma de lidiar con este troyano es utilizar un software antivirus con función de eliminación de shell para proteger el sistema.
¿Qué es una concha? Como sugiere el nombre, puedes adivinar fácilmente que es lo que lo envuelve. Sí, el shell puede envolver un archivo (como un EXE) a su alrededor y luego, cuando se ejecuta el archivo, el shell primero obtiene el control y luego libera y ejecuta el cuerpo del archivo empaquetado. Muchos shells pueden cifrar el cuerpo del archivo que contienen, impidiendo que el software antivirus lo inspeccione. Por ejemplo, la característica troyana original definida por el software antivirus es "12345". Si se encuentra que un archivo contiene esta característica, el archivo se considera un caballo de Troya y el cuerpo del archivo se cifra utilizando la función de cifrado del archivo. shell (por ejemplo: la característica original es "12345". Después del cifrado, se convierte en "54321", por lo que, por supuesto, el software antivirus no puede depender de las características del archivo para detectarlo y eliminarlo). En este momento, lo primero que debe hacer es eliminar el shell del archivo y restaurar el archivo a su estado anterior sin el shell.
8. Elimina el shell del archivo.
9. Soluciones de seguridad de red para usuarios comunes: cortar de raíz
En resumen, podemos ver que depender de firewalls y software antivirus para hacer cosas que son invulnerables. ¡Todos los virus son imposibles! Se puede decir que mientras navegue por Internet, puede resultar envenenado y puede resultar envenenado sin poder detectar el veneno. Entonces, ¿cómo pueden los usuarios normales sin conocimientos profesionales de seguridad de redes proteger su propia seguridad de red?
1. Aplique parches del sistema y repare las vulnerabilidades del sistema
La mayor fuente de virus son los troyanos web, y los troyanos web deben depender de las vulnerabilidades del sistema para sobrevivir si su sistema no tiene web. El troyano aprovecha las lagunas jurídicas y, naturalmente, no tendrá ningún efecto. Por lo tanto, la mejor manera de evitar que los troyanos ingresen a la computadora es parchear el sistema a tiempo y luego usar herramientas de escaneo de vulnerabilidades para detectar si hay vulnerabilidades en el sistema. Las vulnerabilidades anunciadas no aparecerán hasta que se reparen.
2. Actualice la base de datos de virus del software antivirus de manera oportuna
Aunque el software antivirus no es omnipotente, aún es necesario instalar un buen software antivirus. Microsoft lanza una gran cantidad de software antivirus cada año. Las vulnerabilidades del sistema se proporcionan en el sitio web oficial para que los usuarios las descarguen. Sin embargo, todavía hay muchas vulnerabilidades no descubiertas que pueden ser aprovechadas por los piratas informáticos, por lo que aún es necesario instalar una buena. software antivirus. El software antivirus sigue siendo necesario. Además de utilizar antivirus exclusivo, Kaspersky también habilita la tecnología de máquinas virtuales y la tecnología de seguimiento del comportamiento. ¡Se puede decir que sus capacidades de escaneo de archivos y memoria son excepcionales! En comparación con otros programas antivirus, la mayor ventaja de Rising es que tiene una capacidad de verificación de memoria muy poderosa. La desventaja es que muchos virus y troyanos han realizado un procesamiento anti-verificación específicamente para Rising.
3. Realice copias de seguridad del sistema y prepárese para la recuperación ante desastres
Dado que aplicar parches e instalar software antivirus no es infalible, debe estar preparado para el envenenamiento y realizar copias de seguridad del sistema de manera oportuna. Esto le permite restaurar rápidamente el sistema operativo en caso de una falla catastrófica, eliminando el riesgo de pérdida de datos y la molestia de reinstalar el sistema.