Guardar mi computadora~~~~¿Qué le pasó?
1. ¿Qué es un caballo de Troya?
Un caballo de Troya es un programa ejecutable, que es igual al software que utiliza habitualmente, excepto que las funciones que implementa son diferentes. software normal los principales son de tamaño pequeño, buen ocultamiento y algunos son infecciosos. La función principal es usar para control remoto o robar secretos. En resumen, son aplicaciones escritas por piratas informáticos para lograr propósitos específicos.
2. Ejemplos de troyanos:
(1) Ala QQ Thief: después de ser atacado, su número QQ se cerrará a la fuerza dentro de un tiempo específico. Cuando inicie sesión nuevamente, su QQ. El número se cerrará. El troyano interceptará el número y la contraseña y los enviará al buzón de correo o al programa de procesamiento de páginas web especificado por el autor del troyano.
(2) Grey Pigeon: Después del ataque, la otra parte puede controlar completamente tu computadora, descargar todos tus archivos, monitorear tu pantalla, encender tu cámara a la fuerza, formatear tu disco duro y destruirte. ¡Configure su computadora como servidor proxy y utilícela como trampolín para atacar las computadoras de otras personas para incriminarlo! En resumen, puede usar su computadora como su propia computadora y robar dinero. Por ejemplo, puede usar su cuenta ADSL para comprar artículos en línea como monedas QQ.
3. Formas de detectar troyanos
(1) Usted descarga o recibe directamente archivos troyanos que le envían otros (puede disfrazarse, como "disfrazar" el archivo ejecutable). ) ”en una foto), y luego lo ejecutas estúpidamente.
(2) Una posibilidad es que haya descargado un archivo con un caballo de Troya incluido. Por ejemplo, Allah QQ Thief viene incluido con el software QQ. Cuando descarga el software QQ y lo instala. El caballo de Troya QQ también estará oculto. Si lo ejecuta, no encontrará ninguna anomalía.
(3) Ser atacado por un troyano web. Un troyano web es una página web cuidadosamente construida utilizando vulnerabilidades de la computadora. Su función es que cuando su computadora tenga dicha vulnerabilidad, su vulnerabilidad será explotada y descargada automáticamente. y ejecutar archivos específicos, como troyanos web WMF. Cuando su computadora tiene una vulnerabilidad WMF, el "Visor de fax de imágenes" aparecerá automáticamente cuando abra algunas páginas web y luego descargará automáticamente los archivos troyanos a su computadora y los ejecutará. así como el control de AYUDA. El troyano web vulnerable mostrará el archivo de ayuda de MS cuando se abra y luego descargará el virus a su computadora. Por supuesto, lo que es aún más poderoso es que implantará el virus en su computadora como si fuera un virus. página web normal sin que aparezca nada. Por ejemplo, el eje de descarga automática escrito por Ice Fox Prodigal (pero solo puede atravesar sistemas inferiores a XP+SP1)
4. Cómo prevenir los troyanos
(1) Hoy en día, todos son más conscientes de la prevención. Bueno, hay muy pocos idiotas que acepten archivos enviados por internautas y luego los ejecuten, por lo que la posibilidad de ganar en el primer tipo es relativamente pequeña. Se recomienda que no acepte archivos enviados. por internautas, incluso si son amigos (debido a que algunos virus pueden enviar archivos automáticamente a amigos, no acepte el archivo si no está seguro de que sea su amigo. Primero debe preguntarle a la otra parte).
Suplemento: Si estás enviando un archivo, por muy disfrazado que esté el virus, no puede cambiar las características del sufijo EXE, por lo que si es otro sufijo, puedes recibirlo. utilice tecnología troyana web para construir un archivo con cualquier sufijo. Envíelo a otros. Aunque este archivo no es un caballo de Troya en sí mismo, puede descargar automáticamente archivos ejecutables desde URL específicas, como archivos con un sufijo WMF. es solo un formato para imágenes, igual que JPG y GIF, pero si es un virus creado por hackers, descargará automáticamente los archivos a tu computadora (no necesitas abrir el archivo, siempre y cuando abras la carpeta donde se encuentra). donde se encuentra el archivo, será engañado)
(2) Dirigido a Para archivos empaquetados, será mejor que utilice el archivo de detección de paquetes al descargar archivos de Internet para verificar si hay datos adicionales empaquetados. y luego ejecútelo
(3) Para los troyanos web, esta es la mejor manera de propagar troyanos. Es un truco, siempre que abra una página web, será un ganador. también la mayor posibilidad de que todos sean envenenados. Solo requiere dos condiciones: su computadora tiene una vulnerabilidad y abre la URL deseada, y será un ganador (en cuanto a las vulnerabilidades, es bien sabido que MS está parcheando constantemente. (Nadie se atreve a decir que su computadora no tiene vulnerabilidades, tanto conocidas como desconocidas). Quizás te preguntes: No visité ningún sitio web malo, ¿cómo podría estar infectado? Respuesta: Hoy en día, la tecnología de intrusión en sitios web es muy sofisticada, pero el nivel de seguridad de muchos sitios web es muy bajo, por lo que muchos sitios web han sido pirateados y tienen troyanos web instalados en sus páginas de inicio, incluidos Sina, NetEase, Sohu, National Security Group y China. Antivirus Todos los sitios web de Internet han sido invadidos por piratas informáticos, sin mencionar esos pequeños sitios web que han sido pirateados y plagados de agujeros. También hay algunos miembros del foro que utilizan código FLASH entre sitios o archivos multimedia como archivos de firma. Cuando vea dichas publicaciones, también será atacado por troyanos web.
Dicho todo esto, ahora toca hablar de cómo prevenirlo*^_^*
Dije antes que sólo los troyanos web que explotan vulnerabilidades pueden ser efectivos, por lo que La mejor manera de lidiar con los troyanos web es La mejor manera es parchear la computadora a tiempo. Si no hay lagunas, el caballo de la red será impotente. ! !
Lista de detección y eliminación de troyanos informáticos
¿Cómo puedo no mojarme los pies cuando camino a menudo junto al río? Entonces, a veces, si permanece en línea durante mucho tiempo, es muy probable que un atacante haya colocado un caballo de Troya en su computadora. ¿Cómo saber si su computadora tiene instalado un caballo de Troya?
1. Método manual:
1. Verifique la conexión de red
Debido a que muchos troyanos escucharán activamente el puerto o se conectarán a una IP y un puerto específicos, por lo que podemos descubrir la existencia de troyanos comprobando la conexión de red cuando no hay ningún programa normal conectado a la red. Los pasos específicos son hacer clic en "Inicio" -> "Ejecutar" -> "cmd" y luego ingresar netstat -an. Este comando puede ver todas las IP conectadas a su computadora y los puertos en los que su computadora está escuchando. partes.——proto (modo de conexión), dirección local (dirección de conexión local), dirección extranjera (dirección para establecer conexión con el local), estado (estado actual del puerto). A través de la información detallada de este comando, podemos monitorear completamente la conexión de red de la computadora.
2. Ver los servicios actualmente en ejecución
Los servicios son uno de los métodos utilizados por muchos troyanos para mantenerse siempre ejecutándose en el sistema. Podemos verificar qué servicios están abiertos en el sistema haciendo clic en "Inicio" -> "Ejecutar" -> "cmd" y luego ingresando "net start". Si encontramos servicios que no hemos abierto nosotros mismos, podemos ingresar a "Servicios". "Servicios" en la herramienta de gestión, busque el servicio correspondiente, deténgalo y desactívelo.
3. Verifique los elementos de inicio del sistema.
Debido a que el registro es relativamente complicado para los usuarios comunes, a los troyanos a menudo les gusta esconderse aquí.
El método para verificar los elementos de inicio del registro es el siguiente: haga clic en "Inicio" -> "Ejecutar" -> "regedit" y luego verifique todos los valores clave que comiencen con "ejecutar" en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion ; HKEY_CURRENT_USER\Software\ Todos los valores clave que comienzan con "ejecutar" en Microsoft\Windows\CurrentVersion; todos los valores clave que comienzan con "ejecutar" en HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion.
System.ini en el directorio de instalación de Windows también es un lugar donde a los troyanos les gusta esconderse. Abra este archivo y vea si hay contenido como shell=Explorer.exe file.exe en el campo [arranque] del archivo. Si existe dicho contenido, entonces file.exe aquí es un programa troyano.
4. Verifique la cuenta del sistema.
A los atacantes maliciosos les gusta controlar su computadora dejando una cuenta en ella. El método que utilizaron fue activar una cuenta predeterminada en el sistema, pero esta cuenta rara vez se usa y luego actualizar los permisos de esta cuenta a permisos de administrador. Esta cuenta será el mayor riesgo de seguridad en el sistema. Un atacante malintencionado puede utilizar esta cuenta para obtener control arbitrario de su computadora. En este caso, se pueden utilizar los siguientes métodos para detectar la cuenta.
Haga clic en "Inicio" -> "Ejecutar" -> "cmd", luego ingrese net user en la línea de comando para verificar qué usuarios hay en la computadora y luego use "net user nombre de usuario" para verificar esto. usuario ¿A qué permisos pertenece? En términos generales, excepto el Administrador, que pertenece al grupo de Administradores, otros no deberían pertenecer al grupo de Administradores. Si descubre que un usuario integrado en el sistema pertenece al grupo de Administradores, es. Es casi seguro que has sido invadido. Utilice rápidamente "usuario de red nombre de usuario/del" para eliminar este usuario.
Si se detecta la existencia de un troyano, puedes seguir los siguientes pasos para eliminarlo.
1. Ejecute el administrador de tareas y finalice el proceso troyano.
2. Verifique RUN, RUNSERVEICE y otros elementos en el registro, haga una copia de seguridad primero, escriba la dirección del elemento de inicio y luego elimine los sospechosos.
3. Elimine los archivos ejecutables de las claves sospechosas anteriores en el disco duro.
4. Generalmente, estos archivos se encuentran en carpetas como WINNT, SYSTEM y SYSTEM32. Generalmente no existen solos. Es probable que se haya copiado un archivo principal. Si hay algún archivo sospechoso .exe, .com o .bat en el disco E, elimínelo.
5. Verifique varios elementos (como la página local) en el registro HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main. Si se han modificado, simplemente vuelva a cambiarlos.
6. Compruebe si se han modificado los programas de apertura predeterminados de varios tipos de archivos comunes, como HKEY_CLASSES_ROOT\txtfile\shell\open\command y HKEY_CLASSES_ROOTxtfileshellopencommand. Esto debe cambiarse nuevamente. Muchos virus modifican el programa de apertura predeterminado de archivos .txt para que los virus se carguen cuando los usuarios abren archivos de texto.
2. Herramientas utilizadas:
Las herramientas para detectar y eliminar troyanos incluyen LockDown, The Clean, Trojan Star, Kingsoft Trojan Killer, Trojan Removal Master, Trojan Analysis Expert, etc. Algunas de Estas herramientas, si desea utilizar todas las funciones, debe pagar una tarifa determinada, pero la licencia de Trojan Analysis Expert es gratuita.