Welcome Friends~

“AV终结者”病毒泛滥成灾，身边不断有朋友的电脑倒在“AV终结者”的刀下，毒霸终结者专杀工具也更新到了3.8版。从昨天论坛的反馈看，效果比以前的版本好用多了。但是，我们现在面对的敌人不再是散兵游勇，而是一群分工合作的病毒生产、传播、盗号工作室，其从业人数可能比杀毒软件公司更多。专杀工具，仍是不能保证对付未来的“AV终结者的”。 本文想介绍一下我处理这类病毒的经验，希望对学技术有兴趣的朋友有

    前一段时间上网查找到了一个经过“加密”过的php木马，出于好奇就对其代码进行了分析：php源代码如下：     分析可以知道，此木马经过了base64进行了编码，然后进行压缩。虽然做了相关的保密措施，可是php代码要执行，其最终要生成php源代码，所以写出如下php程序对其进行解码，解压缩，写入文件。解码解压缩代码如下：<?phpfunction writeto

2006十大病毒手工查杀方法　　一、“灰鸽子”　　病毒名称：Backdoor/Huigezi　　病毒中文名：“灰鸽子”　　病毒类型：后门　　影响平台：Win9X/ME/NT/2000/XP　　描述：Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。

WSH--这个在词典中都很难找寻的名词，对许多朋友来讲也许还比较陌生。但正是WSH ，使 Windows 操作系统具备了更为强大的功能。它让我们在使用系统时拥有了许多的便利，但同时，也让我们的电脑遭遇了不少的麻烦。下面，就让我们一步步走进 WSH 的神秘世界，共同评判它的是非功过。一、WSH 是什么？WSH，是“Windows Scripting Host”的缩略形式，其通用的中文译名为“

 陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！要知道，木马（Trojan）的历史是很悠久的：早在AT&T

本文假定你对dos下的病毒和386PM有一定的了解。 1、感染任何一个病毒都需要有寄主，把病毒代码加入寄主程序中（伴侣病毒除外）。 以下说明如何将病毒代码嵌入PE文件中，有关PE文件的结构请看以前的文章。 PE文件的典型结构： MZ Header DOS STUB CODE PE HEADER OPTIONAL HEADER SECTION TABLE SECTION 1 SECTIO

 很多人说病毒清除掉后留下很多尸体文件，虽然可以删除，但是他们无处不在，一个个干掉实在是太麻烦了。比如viking留下的_desktop.ini；比如欢乐时光留下的desktop.ini、folder.htt；还比如病毒经常在你的硬盘跟目录下放上属性为系统+隐藏的autorun.inf，以及这个文件里run=字段后面的程序，数不胜数…… 那么如何来干掉这些垃圾？实际上你可以利用搜索功能

 一、引言 　　“特洛伊木马”曾在网上造成很大恐慌，此类黑客程序通过欺骗手段在普通网络用户端安装木马的服务端，使用户的计算机在上网时留有后门，而黑客则可以通过这个后门对被感染的计算机随心所欲地进行监视、破坏。显然这种黑软对于普通网络用户的危害是非常严重的。 　　就本质而言黑客软件仍然属于应用程序，是基于套接字的网络通讯程序。因此黑客能成功攻击被感染计算机的一个非常必要的先决条件就是此时被攻击方已经

1. 现象： 双击硬盘的盘符时发现死活打不开，右键菜单选择打开也是不行的，只能通过开始菜单，运行，才可以打开。还算是良性的病毒：） 2. 确认： 通过开始菜单，运行cmd，到类DOS界面。输入某个盘符，打开它，用dir /a查看所有文件，发现有一个RavMon.exe。瑞星也有个程序叫RavMon.exe，所以很有迷惑性，用attrib看它的属性，如果是SHR属性的，就是病毒了。 rose病毒也有

病毒名称：Trojan-PSW.Win32.OnLineGames.vl（Kaspersky）病毒别名：Win32.PSWTroj.OnLineGames.vl.14848（毒霸）病毒大小：14,848 字节加壳方式：样本MD5：cabda6f9c1c622e5e232b8e7feda210e样本SHA1：b8e08d4235b9909458c8944c7a841832cdbea725发现时间：2

 一、病毒特征分析       1.病毒一般通过U盘等媒体感染，病毒首先更加系统日期，导致杀毒软件实时监控失效，同时进行感染；       2.系统进程中创建两个进程oduxyym.exe和veckdld.exe，相互保护，同时运行；       3.感染后在%systemboot%/system32下面创建隐藏的病毒文件:oduxyym.exe,veckdld.exe,upxdnd.dll，同时

金山毒霸已经紧急升级了有关8749的特征库，需要将金山毒霸查毒和金山清理专家的文件粉碎器结合使用，将8749

 8749病毒是一个典型的病毒化的流氓软件，中8749病毒后的典型现象是主页被锁定为www.8749.com。在短短几天之间，8749病毒已经出现了数个变种。以变种出现的速度来看，估计该流氓软件会很快在互联网大规模传播。 　　病毒行为：　　1.使用删除文件，移动文件，写入空信息等三种方式清空HOST文件　　2.病毒利用文件占用技术，实现对自身程序文件的保护　　3.修改注册表键，禁用

一.症状分析:1.时间被修改为2005年,每个盘的根目录有auto.exe,autorun.inf生成.2.在windows下生成如下后缀名为.exe病毒程序.3.在system32下生成如下病毒文件:(不包括drivers文件夹)4.病毒加载的启动项如下:5.病毒加载到注册表中run启动项的图示:6.病毒运行后生成如下服务:(注册表中服务位置:

 “木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载。

前置知识：DLL、远程线程难度：    高编译环境：VC6.0＋win2000测试环境：win2000＋天网防火墙                                                            “大家好，今天我们来讨论现在木马或后门比较流行的技术－线程插入技术。”       “什么是线程插入技术啊？”一小菜问。       “线