Red de conocimiento informático - Aprendizaje de código fuente - ¿Cuáles son las condiciones para un envenenamiento evidente?

¿Cuáles son las condiciones para un envenenamiento evidente?

Este troyano reemplaza a C:\WINDOWS\system32\notepad.exe

y no permite la recuperación después del corte. También se le llama puerta trasera. Se llama "Trojan house" en inglés. Grecia. El mítico "Libro de los Caballos de Troya" es una herramienta hacker basada en control remoto. Sus características generales son: está contenido en programas normales. Cuando el usuario ejecuta el programa normal, se inicia automáticamente, lo que dificulta su ejecución. detectarlo. Proporcionar a los usuarios casas de troyanos. ", es una herramienta de piratería basada en control remoto. Las características de los caballos de Troya son generalmente: ① incluidos en programas normales, cuando el usuario ejecuta el programa normal, se inicia solo y completa algunas operaciones que dañan al usuario sin el el usuario lo sabe, está oculto, ② tiene función de operación automática, ③ tiene función de recuperación automática. Puede abrir automáticamente puertos especiales. Contiene funciones y programas no revelados que pueden causar consecuencias peligrosas. programa de servidor y programa de controlador Cuando su computadora ejecuta un programa de servidor, un atacante malicioso puede usar el programa de controlador para ingresar a su computadora y controlarla ordenando el programa de servidor. Los piratas informáticos pueden usarlo para bloquear el mouse y registrar las pulsaciones de teclas del teclado. y robar sus datos Las contraseñas se pueden utilizar para extraer, explorar y modificar repetidamente sus archivos, modificar el registro, apagarlos, reiniciarlos de forma remota y otras funciones.

Tipos de troyanos: ①Troyanos de control remoto, ②Envío de contraseñas. Troyanos, como los troyanos QQ. ③Troyanos de registro de teclas. Generalmente, los troyanos tienen esta función. ④Troyanos proxy como trampolines. En pocas palabras, son troyanos anti-firewall, como los ladrones de redes. , y es uno de los troyanos más difíciles de tratar.

Si desea evitar los troyanos, primero debe comprender los métodos comunes de implantación de los troyanos (muchos virus también utilizan el mismo método de transmisión). porque los troyanos también se consideran un tipo de virus):

1. Transmisión por correo electrónico: lo más probable es que los troyanos se envíen en archivos adjuntos de correo electrónico, cuando no toma ninguna medida para descargarlos y ejecutarlos, se considera. un troyano, por lo tanto, es mejor no descargar ni ejecutar correos electrónicos con archivos adjuntos, especialmente archivos adjuntos llamados *.exe, y utilizar software antivirus. Hábito de escanear archivos adjuntos.

2. QQ: Porque QQ. tiene una función de transferencia de archivos, muchos troyanos se propagan a través de QQ. Los programas de servidor troyanos generalmente se combinan con otros archivos ejecutables mediante software de combinación y luego lo engañan. Si dice que es algo divertido o una foto PLMM, se convertirá en víctima del troyano. horse después de aceptarlo

3. Descargar y difundir: la descarga de software desde algunos sitios web o foros personales puede descargarse y vincularse al servidor del caballo de Troya. sitio web conocido.

Antes de descomprimir e instalar el software, primero debes realizar un buen escaneo del software.

Recordarte que si el software antivirus busca virus, debes hacerlo. elimínelos inmediatamente.

No crea que estos archivos se pueden ejecutar sin troyanos. El siguiente método de implantación del caballo de Troya está diseñado específicamente para personas con esta idea.

4. Asociación Este es uno de los métodos troyanos más comunes. Por ejemplo, si Notepad.exe (Bloc de notas) abre un archivo txt en circunstancias normales, el atacante puede abrir el txt modificándolo. que una vez que hace doble clic en el archivo txt, el programa troyano que se abrió originalmente con el Bloc de notas ahora se convierte en un elemento de inicio. Por supuesto, no sólo los archivos txt, sino también otros como htm, exe, zip, com, etc. son objetivos de los troyanos. Para lidiar con los troyanos de asociación de archivos, solo puede verificar si el valor clave de la subclave "HKEY_CLASSES_ROOT\file type\shell\open\command" es normal.

5. Ejecute el programa de implante directamente. Generalmente, el troyano está configurado para ejecutarse en el host de destino aprovechando las vulnerabilidades del sistema. Las políticas de seguridad del sistema se explicarán con más detalle más adelante.

6. Implantación de página web. El método más popular de implantación de caballos de Troya es también un asesino sigiloso comúnmente utilizado por los piratas informáticos, el llamado caballo de Troya web.

Los amigos que navegan con frecuencia por Internet han descubierto que al navegar por la web, el navegador muestra algunos mensajes emergentes, de los cuales 3721 son los más vistos. El código fuente de estas ventanas contiene controles ActiveX. Si estos controles no están instalados en su interior, seguirán apareciendo en esta ventana en el futuro y no se realizarán las funciones de la página web. Con esto, puede crear un control ActiveX y colocarlo en la página web. Siempre que el usuario elija instalarlo, el programa troyano se descargará automáticamente del servidor y se ejecutará. se logra. El programa caballo de Troya creado de acuerdo con este método es efectivo para cualquier versión de IE, pero cuando aparece el cuadro de diálogo para determinar si el usuario lo ha instalado al abrir la página web, siempre que el usuario no lo instale, el hacker no tendrá nada que hacer. Por lo tanto, cuando aparece un cuadro de diálogo en Internet preguntando si desea instalar un determinado software o complemento, asegúrese de visitar el sitio web del que proviene el mensaje. Si se trata de un sitio web conocido, elija instalarlo según las necesidades reales. Si se trata de una URL relativamente rara o que no se ve, o incluso una URL que no se puede ver en absoluto, haga clic en "No" sin dudarlo y cierre la ventana. . Otro tipo de troyano aprovecha principalmente una vulnerabilidad en la etiqueta Objeto HTML de Microsoft. La etiqueta Objeto se utiliza principalmente para insertar controles ActiveX en páginas HTML. Los troyanos dentro de las páginas web se ejecutan silenciosamente porque el cargador no verifica la naturaleza del archivo cargado con los parámetros que describen la ubicación de los datos del objeto remoto. Para las URL marcadas con DATOS, IE procesará los datos según el tipo de contenido en el encabezado HTTP devuelto por el servidor. Es decir, si el encabezado HTTP devuelve tipos como aplicación/hta, independientemente del nivel de seguridad. Es decir, este archivo se puede ejecutar. Si un atacante malintencionado reemplaza el archivo con un programa troyano y cambia la dirección del servidor ftp y el nombre del archivo a su propia dirección del servidor ftp y la ruta del programa troyano en el servidor. Luego, cuando otros naveguen por la página web, aparecerá un mensaje de error "Error de secuencia de comandos de Internet Explorer", preguntando si se debe continuar ejecutando la secuencia de comandos de error en la página. Cuando se haga clic en "Sí", el programa troyano se descargará y ejecutará automáticamente. Los dos troyanos web anteriores mostrarán un cuadro de aviso de seguridad, por lo que no están lo suficientemente ocultos. En este caso, solo necesita ver claramente la fuente del mensaje en el sitio web y luego juzgar si es necesario hacer clic en "Sí". "Según la situación. También existe un tipo de troyano web que inserta código troyano directamente en el código fuente de la página web. Mientras la otra parte abra la página web, el caballo de Troya la infectará y todavía no sabe nada al respecto.

Por lo tanto, si su computadora está infectada con el virus del caballo de Troya, entonces necesita instalar un "protector del caballo de Troya" en su computadora para proteger su computadora del virus del caballo de Troya.

Entonces, ¿cómo determinar si su computadora está infectada por un caballo de Troya? ¿Qué verá si está infectada por un caballo de Troya? Es difícil decirlo porque pueden suceder muchas cosas diferentes cuando ataca un troyano.

Sin embargo, si su calculadora presenta alguna de las siguientes condiciones, es probable que esté infectada por un virus pirata.

La calculadora a veces se congela y a veces se reinicia; lee y escribe frenéticamente en el disco duro sin hacer nada; el sistema busca la disquetera inexplicablemente, no está ejecutando programas grandes, pero el sistema está funcionando; cada vez más rápido Cuanto más lento, el sistema consume muchos recursos, cuando usa CTRL + ALT + SUPR para abrir la lista de tareas, encontrará que hay más de un programa ejecutándose con el mismo nombre, lo que puede volverse así; Más común cuanto más pasa el tiempo. La cantidad de programas en ejecución con el mismo nombre puede aumentar con el tiempo. (Sin embargo, hay algunos programas que no aparecerán en esta lista. (Las personas que saben de programación deben saber que esto no es difícil de hacer, pueden verlo a través de PVIEW95). Especialmente después de conectarse a Internet o LAN, si su Si Si la máquina tiene estos síntomas, debe tener cuidado. Por supuesto, es posible que haya otros virus en funcionamiento. La mayoría de los troyanos no son tan aterradores como los virus, porque generalmente requieren ataques internos y externos para causar daños. causar daño. Sin embargo, la posibilidad de daño aún existe. Por ejemplo, su contraseña de Internet puede haber terminado en la bandeja de entrada de otra persona.

También podemos usar el método Ver puertos abiertos para verificar si lo hemos hecho. implantados con troyanos u otros programas de piratas informáticos.

Cuando navega por Internet, otras personas chatean con usted y envía correos electrónicos, todos deben tener el mismo protocolo. Este protocolo es el protocolo TCP/IP. La comunicación de cualquier software de red se basa en el protocolo TCP/IP. Si se compara Internet con una red de carreteras, la computadora es una casa al borde de la carretera. La casa debe tener puertas de entrada y salida. El protocolo TCP/IP estipula que la computadora puede tener 256 * 256 puertas, que son "puertas". de 0 a 65535. TCP El protocolo /IP lo llama "puerto". Cuando envía un correo electrónico, el software de correo electrónico envía la carta al puerto 25 del servidor de correo. Cuando recibe el correo electrónico, el software de correo electrónico ingresa y recupera la carta del puerto 110 del servidor de correo. yo ahora lo que esta escrito es entrar al puerto 80 del servidor. El número de puerto abierto en la computadora personal recién instalada es el puerto 139. Usted se comunica con el mundo exterior a través de este puerto cuando navega por Internet. Los piratas informáticos también obtienen acceso a su computadora a través de este puerto. Por lo tanto, podemos utilizar el método de comprobar los puertos abiertos del ordenador local para comprobar si se han implantado troyanos u otros programas de piratas informáticos. Este comando sólo se puede utilizar si el protocolo TCP/IP está instalado.

netstat [-a] [-e] [-n] [-s] [-p protocolo] [-r] [intervalo]

-a muestra todas las conexiones y oyentes puerto. Las conexiones del servidor normalmente no se muestran.

-e muestra estadísticas de Ethernet. Este parámetro se puede utilizar con la opción -s.

-n Muestra direcciones y números de puerto en formato numérico (en lugar de buscar nombres).

-s muestra estadísticas para cada protocolo. De forma predeterminada, se muestran estadísticas para TCP, UDP, ICMP e IP. Se puede especificar un subconjunto predeterminado usando la opción -p.

-p protocolo Muestra las conexiones para el protocolo especificado por protocolo; el protocolo puede ser tcp o udp. Si se usa con la opción -s para mostrar estadísticas por protocolo, el protocolo puede ser tcp, udp, icmp o IP.

-r muestra el contenido de la tabla de enrutamiento.

intervalo vuelve a mostrar las estadísticas seleccionadas, haciendo una pausa de unos segundos entre cada visualización. Presione CTRL+B para dejar de volver a mostrar estadísticas. Si se omite este parámetro, netstat imprimirá la información de configuración actual una vez.

Si se encuentran puertos anormales, es posible que los puertos comúnmente utilizados por los troyanos estén ocupados. Desconéctese de la red inmediatamente y utilice un software antivirus que haya actualizado la base de datos de virus a la última versión para buscar virus.

②La herramienta de línea de comandos fport se puede utilizar en Windows 2000

Fport es un software desarrollado por FoundStone, que se utiliza para enumerar todos los puertos TCP/IP y UDP abiertos en el sistema. y La ruta completa, identificador PID, nombre del proceso y otra información de sus aplicaciones correspondientes. Para usarlo desde la línea de comando, vea el ejemplo:

D:\>fport.exe

FPort v1.33 - Proceso TCP/IP a Port Mapper

Copyright 2000 de Foundstone, Inc.

748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost -> 135 TCP C:\WINNT \ system32\svchost.exe

Utilice este comando. El programa que abre cada puerto estará bajo su control.

Si encuentra un programa sospechoso abriendo un puerto sospechoso, no se asuste, ¡podría ser un astuto troyano!

3. Active Ports, una herramienta de interfaz gráfica con funciones similares a Fport.

Active Ports para SmartLine se puede utilizar para monitorear todos los puertos TCP/IP/UDP abiertos del ordenador. no solo puede mostrar todos los puertos, sino que también puede mostrar las rutas del programa correspondientes a todos los puertos. Ya sea que la IP local y la IP remota (la IP que intenta conectarse a su computadora) estén activas, cuando la usa para encontrar los puertos abiertos por el troyano, también brinda la posibilidad de cerrar el puerto inmediatamente.

Utilizando el método de visualización de puertos abiertos locales y la correspondencia entre puertos y procesos, puede descubrir fácilmente troyanos basados ​​en el protocolo TCP/UDP. En términos generales, la forma más sencilla de eliminar troyanos es utilizar un software antivirus (como Kingsoft Antivirus). Hoy en día, el software antivirus puede detectar y eliminar la mayoría de los troyanos, pero, por supuesto, hay algunos troyanos que no se pueden detectar ni eliminar. En este momento, debes eliminarlo manualmente. Para eliminarlo manualmente, primero debe comprender dónde suelen esconderse y cargarse los troyanos.

El programa "troyano" intentará todos los medios para ocultarse. Los métodos principales son: ocultarse en la barra de tareas. Este es el más básico. Simplemente establezca la propiedad Visible del formulario en Falso y establezca el valor. ShowInTaskBar Si es falso, el programa no aparecerá en la barra de tareas mientras se esté ejecutando. Cuando un programa se está ejecutando, no aparece en la barra de tareas ni es visible en el Administrador de tareas: configurar el programa como un "Servicio del sistema" puede disfrazarse fácilmente. Por supuesto, también arranca silenciosamente. Los troyanos cargarán automáticamente el servidor cuando se inicie la computadora y cargarán automáticamente las aplicaciones cuando se inicie el sistema Windows, y los troyanos se aprovecharán de ellas, por ejemplo, el grupo de inicio, win.ini, system.ini, registro, etc. todos buenos lugares para que se escondan los "troyanos". Hablemos específicamente de cómo se cargan automáticamente los "troyanos".

①Inicio de Win.ini: en [WINDOWS] en el archivo win.ini, "run=" y "load=" son las rutas donde se pueden cargar los programas "caballo de Troya", así que asegúrese de pagar atención cuidadosa. "programas, por lo que debe prestarles mucha atención. En términos generales, el signo igual después de ellos no significa nada. Si descubre que va seguido de un archivo de inicio con una ruta y un nombre de archivo desconocidos, su computadora puede estar infectada por un " Caballo de Troya". Por supuesto, hay que mirar con atención, porque muchos "troyanos", como el "troyano AOL", se disfrazan como el archivo command.exe. Si no tiene cuidado, es posible que no descubra que no es el archivo de disco de inicio del sistema real

②Inicio de System.ini: en el archivo system.ini, hay un "shell= nombre de archivo" en [BOOT]. , si no es "explorer.exe". shell= nombre del programa explorer.exe", entonces el siguiente programa es un programa de "caballo de Troya", es decir, ha sido atacado por un "caballo de Troya".

③Utilice el registro para cargar el tiempo de ejecución: la situación más complicada En el registro, abra el editor de registro mediante el comando regedit, haga clic para ingresar: directorio "HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" , verifique el valor clave del archivo de inicio automático con el que no está familiarizado y expanda Se llama EXE. Recuerde aquí: algunos programas de "caballo de Troya" generan archivos que son muy similares a los archivos que vienen con el sistema. salirse con la suya disfrazándose. Por ejemplo, "Acid Battery v1.0 Trojan" cambiará el registro a "HKEY-LOCALMACHINE" se cambia a Resource Manager=. "C:\WINDOWS\expiorer.exe". La única diferencia entre el programa "troyano" y el Administrador de recursos real es "i" y "l".

Por supuesto, hay muchos otros lugares en el registro donde se pueden ocultar programas "caballo de Troya", como "HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run", "HKEY-USERS\**** Software\Microsoft\WindowsCurrentVersion" \Run La mejor manera es buscar "HKEY-LOCAL-MACHINE\Software\Microsoft\WindowsCurrentVersion\Run" en "HKEY-LOCAL-MACHINE\Software\Microsoft\WindowsCurrentVersion\Run" La mejor manera es búsquelo en "Ejecutar". Busque el nombre de archivo del programa "troyano" y luego busque en todo el registro

④ Invisible en el grupo de inicio: C:\windows\start menu\programs\startup. , en la ubicación del registro: HKEY_CURRENT_USER\Software.\Microsoft\Windows\CurrentVersion\

Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup" (generalmente poco probable)

⑤ Oculto en Winstart. En bat: según la teoría lógica anterior, a los troyanos les gusta permanecer donde sea propicio para la carga automática. Winstart.bat también es un archivo que Windows puede cargar automáticamente. para aplicaciones y Windows., ejecutado después de ejecutar Win.com y cargar la mayoría de los controladores (esto se puede ver presionando la tecla F8 al inicio y luego seleccionando el método de inicio para continuar paso a paso a través del proceso de inicio). bat se puede utilizar en lugar de la función Autoexec.bat, por lo que el troyano se puede cargar y ejecutar exactamente como en Autoexec.bat, y el peligro seguirá.

6 Cargue y ejecute en Autoexec.bat y Config. .sys

7 Inicio mediante asociación de archivos: este tipo de troyano se ha mencionado anteriormente y no se repetirá aquí

8 La tecnología de inicio del troyano relativamente nueva consiste en utilizar tecnología de incrustación de dll para incrustar el troyano en el proceso del programa que se usa normalmente. Es difícil limpiarlo manualmente. Este troyano no usa un proceso, sino que usa otro "programa ejecutable" en el sistema dll de Windows (extensión de la aplicación), por lo que no podemos encontrarlo a través. el Administrador de procesos de Windows, pero podemos usar software de terceros (Windows Optimization Master Process Management) para encontrar el archivo dll utilizado por el troyano y luego eliminarlo en DOS.