¿Qué significan virus y troyanos? ¿Importa? ¿Qué impacto tendrán?

Los caballos de Troya y los virus son tanto programas artificiales como virus informáticos. ¿Por qué mencionar únicamente el caballo de Troya? Como todos sabemos, la función de los virus informáticos en el pasado era en realidad dañar y destruir datos en una computadora. Además de la destrucción, el resto no es más que intimidación y extorsión por parte de algunos fabricantes de virus para conseguir determinados fines o lucir su tecnología. A diferencia de los caballos de Troya, los caballos de Troya se utilizan para espiar a otros y robar contraseñas y datos de otras personas, como robar contraseñas de administrador y contraseñas de subred para destruirlas. O, por diversión, roban contraseñas de Internet y las utilizan para otros fines, como cuentas de juegos, cuentas de acciones o incluso cuentas bancarias en línea. , para lograr el propósito de asomarse a la privacidad de otras personas y obtener beneficios económicos. Por lo tanto, los caballos de Troya son más útiles que los primeros virus informáticos y pueden lograr directamente el propósito del usuario. Muchos desarrolladores de programas con motivos ocultos escriben una gran cantidad de programas intrusivos con el fin de robar y monitorear las computadoras de otras personas. Esta es también la razón por la cual una gran cantidad de troyanos están inundando Internet. En vista de estos enormes peligros de los troyanos y sus diferentes propiedades de los primeros virus, los troyanos pertenecen a una categoría de virus, pero deben separarse de los tipos de virus. Se les conoce independientemente como programas "troyanos".

En términos generales, para un programa de software antivirus, si su programa de eliminación de troyanos puede eliminar un determinado caballo de Troya, entonces su propio programa antivirus ordinario también puede eliminar este caballo de Troya, porque en el caballo de Troya Hoy en día, cuando los troyanos están por todas partes, diseñar una herramienta para eliminar troyanos específicamente para troyanos puede mejorar la calidad del producto de este software antivirus y ser de gran beneficio para su reputación. De hecho, el software antivirus común contiene la función de detectar y eliminar troyanos. Si la gente dice que un determinado software antivirus no tiene un programa para detectar y eliminar troyanos, entonces el fabricante del software antivirus parece un poco culpable, a pesar de que su software antivirus común ciertamente tiene la función de detectar y eliminar troyanos. .

Otro punto es que separar el programa troyano de comprobación y eliminación por separado puede mejorar la eficiencia de la comprobación y eliminación. En la actualidad, muchos programas antivirus para eliminar troyanos solo escanean y eliminan troyanos, y no verifican los códigos de virus en las bases de datos de virus de uso común. Es decir, cuando los usuarios ejecutan el programa para eliminar troyanos, el programa solo llama a los datos. en la biblioteca de códigos troyanos, lo que mejoró enormemente la velocidad de detección y eliminación de troyanos. Sabemos que la velocidad de detección de virus comunes es relativamente lenta. Porque ahora hay demasiados virus. Cada archivo debe probarse con miles de códigos troyanos, además de casi 65438+ millones de códigos de virus conocidos, ¿no es muy lento? ¿Se mejoran la eficiencia y la velocidad al omitir las pruebas de códigos de virus comunes? En otras palabras, el programa de eliminación de troyanos que viene con muchos programas antivirus solo mata troyanos y, por lo general, no mata virus, mientras que el programa de eliminación de virus normal que viene con ellos puede eliminar tanto virus como troyanos.

===========================================

Consejos sobre el caballo de Troya

El Caballo de Troya (en adelante, Caballo de Troya) se llama "Casa de Troya" en inglés y su nombre proviene del Caballo de Troya de la mitología griega. Es una herramienta de piratería basada en control remoto. Troy Hawes jugó un papel pionero en diversos ataques llevados a cabo por piratas informáticos.

1. Los peligros de los caballos de Troya

Creo que muchos internautas están familiarizados con los caballos de Troya. Es una herramienta de control remoto preferida por los piratas informáticos por su sencillez, sencillez y eficacia. Una vez que la computadora ingresa al cuerpo del troyano, se convierte en una máquina títere. La otra parte puede cargar y descargar archivos en su computadora, echar un vistazo a sus archivos privados, robar sus contraseñas y su información de contraseña... Si monta un caballo de Troya, todos sus secretos quedarán expuestos a los demás. ¿privacidad? ¡Ya no existe!

El caballo de Troya también es una herramienta indispensable en los ataques de piratas informáticos. El año pasado, el 28 de junio de 2010, un pirata informático invadió el sitio web del portal de Microsoft en los Estados Unidos y parte de la información interna del sitio web fue difundida por un caballo de Troya llamado QAZ. ¡Es este pequeño QAZ el que hace perder la cara al enorme Microsoft!

Los troyanos con los que los internautas están más familiarizados son varios glaciares de software nacionales. Glacier es un software gratuito desarrollado por Huang Xin. Después de su lanzamiento, su método de operación simple y su poderosa capacidad de control hicieron que la gente se estremeciera. Se puede decir que ha llegado al punto en que hablar de "hielo" ha cambiado.

2. Principio del caballo de Troya

El caballo de Troya pertenece al modelo cliente/servicio. Se divide en dos partes, el lado del cliente y el lado del servidor.

El principio es que un host proporciona servicios (servidor) y otro host recibe servicios (cliente). Como servidor, el host suele abrir un puerto predeterminado para escuchar. Si el cliente envía una solicitud de conexión a este puerto del servidor, el programa correspondiente en el servidor se ejecutará automáticamente para responder a la solicitud del cliente. Este programa se llama demonio. Tomemos como ejemplo el famoso glaciar Troy. El extremo controlado puede considerarse el servidor, mientras que el extremo controlador es el cliente. El programa de servidor G_Server.exe es un programa demonio y G_Client.exe es una aplicación cliente.

Para obtener más información sobre los troyanos, echemos un vistazo a cómo se esconden. Hay varias formas principales de ocultar troyanos:

1.) Ocultar en la barra de tareas

Esta es la más básica. Si aparece un ícono desconcertante en el origen de la tarea de Windows, incluso un tonto entenderá lo que está pasando. En VB, siempre que la propiedad Viseble del formulario esté configurada en False, un programa con ShowInTaskBar configurado en False no aparecerá en la barra de tareas.

2.) Ocultar en el Administrador de tareas

La forma más sencilla de ver los procesos en ejecución es mostrar el Administrador de tareas presionando ctrl+alt+supr. Si presiona Ctrl+Alt+Supr y ve un troyano ejecutándose, definitivamente no es un buen troyano. Por lo tanto, Trojan intenta por todos los medios disfrazarse para no aparecer en el administrador de tareas. Troy Hawes descubrió que presentarse como un "servicio del sistema" podía engañarlo fácilmente. Por lo tanto, esperar encontrar el troyano presionando ctrl+alt+del no es realista.

3.) Puertos

Una máquina tiene 65536 puertos. ¿Prestarás atención a tantos puertos? Troy está muy preocupado por tu puerto. Si prestas un poco de atención, no es difícil encontrar que los puertos utilizados por la mayoría de los troyanos están por encima de 1024 y la tendencia va en aumento. Por supuesto, también hay troyanos que ocupan puertos por debajo del 1024. Sin embargo, estos puertos se utilizan habitualmente y su ocupación puede provocar anomalías en el sistema. En este caso, los troyanos quedarían fácilmente expuestos. Quizás conozca algunos puertos ocupados por troyanos y pueda escanearlos con frecuencia, pero ahora los troyanos brindan funciones de modificación de puertos. ¿Tienes tiempo para escanear los puertos 65.536?

4.) El método de carga del caballo de Troya está oculto.

Los troyanos se pueden cargar de diversas formas. Pero diferentes enfoques conducen al mismo objetivo: permitirle ejecutar un programa de servidor troyano. Si el troyano no añade ningún disfraz. Te diría que es un caballo de Troya, pero lo extraño es que puedes ejecutarlo. Con el avance continuo del proceso de interacción del sitio web, cada vez más cosas pueden convertirse en medios de transmisión de troyanos, como JavaScript, VBScript, ActiveX, XLM... ................ ................................................. ................................................. .............. .....

5.) Denominación de los caballos de Troya

La denominación de los programas del servidor troyano también está muy bien informada. . Si no se realizan cambios, utilice el nombre original. ¿Quién no sabe que esto es un programa troyano? Por tanto, el nombre del caballo de Troya también resulta extraño. Sin embargo, la mayoría de ellos se cambian por nombres similares a los nombres de archivos del sistema. Puede ser peligroso si no sabes lo suficiente sobre los archivos de tu sistema. Por ejemplo, algunos troyanos cambiaron su nombre a window.exe. Si no te dijeran que era Troya, ¿te atreverías a borrarlo? También hay algunos cambios de sufijo, como cambiar dll a dl, etc. ¿Lo notarías si no miraras con atención?

6.) La última tecnología de sigilo

Actualmente, además de las tecnologías de sigilo de uso común mencionadas anteriormente, ha surgido un método más nuevo y más encubierto. Es decir, modificar el controlador del dispositivo virtual (vxd) o modificar la biblioteca de enlaces dinámicos (DLL). Este método es diferente del método general. Básicamente, elimina el puerto de escucha del modo troyano original y adopta el método de reemplazar funciones del sistema (reescribir archivos vxd o DLL). El troyano reemplazará la DLL modificada con una DLL conocida por el sistema y filtrará todas las llamadas a funciones.

Para llamadas comunes, utilice la función reenviador para reenviar directamente a la DLL del sistema reemplazada. Para algunas situaciones especiales acordadas de antemano, la DLL realizará algunas operaciones correspondientes. De hecho, la mayoría de estos troyanos sólo utilizan archivos DLL para monitorear. Una vez que se descubre una solicitud de conexión desde el terminal de control, se activarán y se vincularán a un proceso para realizar operaciones troyanos normales. La ventaja de esto es que no es necesario agregar nuevos archivos, ni nuevos puertos que abrir, ni nuevos procesos, y no se puede monitorear mediante métodos convencionales. Cuando funciona normalmente, el troyano presenta pocos síntomas, pero tan pronto como el extremo controlador del troyano envía información específica al extremo controlado, el programa oculto comienza a ejecutarse inmediatamente.

3. Herramientas anti-troyanos

Para prevenir los caballos de Troya, puede utilizar software de firewall y varios programas anti-hackers para construir una línea de defensa Maginot en Internet. estar mucho más seguro.

Hay muchos programas de firewall en Internet y recomendamos "Skynet Firewall Personal Edition". Este es un software completamente gratuito. Después de una instalación exitosa, se convertirá en una imagen de escudo y se reducirá a la bandeja del sistema de donde proviene la tarea. Siempre monitoreará cada movimiento del hacker. Cuando un pirata informático invade, automáticamente emitirá una alarma y mostrará la dirección IP del intruso.

Haga doble clic en el icono del escudo con el mouse y aparecerá la consola Skynet. Hay cinco pestañas en la consola: Configuración general, Configuración avanzada, Configuración de seguridad, Detección y Acerca de. Haga clic en la pestaña "Configuración general" y verá dos ventanas: Configuración de seguridad de LAN y Configuración de seguridad de Internet. Podemos establecer su nivel de seguridad arrastrando el control deslizante. Se recomienda que los usuarios normales elijan "Medio" (todos los servicios del puerto TCP están cerrados, pero los servicios del puerto UDP aún están abiertos, y otras vulnerabilidades que no pueden ser invadidas a través del puerto están protegidas de casi todos los ataques de pantalla azul y problemas de fuga de información, y no afectará el uso del software de red normal).

Haga clic en "Configuración avanzada" en la consola y elija manualmente si desea cancelar "Conectar a la red", "ICMP", "IGMP", "Monitoreo TCP", "Monitoreo UDP" y "NETBIOS". opciones. Si alguien quiere conectarse a su computadora después de navegar por Internet, Skynet Firewall lo interceptará automáticamente y emitirá un aviso de alarma. Al mismo tiempo, en el "Registro de seguridad" de la consola se mostrará información del ataque como IP del conector, protocolo, puerto de origen, acciones realizadas por el firewall, registros de tiempo, etc.

En las pestañas "Detección" y "Acerca de" de la consola, hay principalmente información como la descripción de la vulnerabilidad de seguridad, el número de versión del software firewall y el número de registro. Si es atacado y desea desconectarse inmediatamente, simplemente haga clic en "Detener" en la consola.

4. Caso de eliminación de caballos de Troya

Los caballos de Troya se pueden eliminar de forma automática y manual. La forma más sencilla de eliminar troyanos es instalar un software antivirus (automáticamente). Hoy en día, muchos programas antivirus pueden eliminar los troyanos más comunes en Internet. Se recomienda instalar Kingsoft Antivirus o Security Star XP, que es muy bueno para detectar y eliminar troyanos.

Debido a que la actualización del software antivirus es más lenta que la aparición de los caballos de Troya en la mayoría de los casos, debes aprender a eliminarlos manualmente. El método es:

1.) Verifique el registro

Ver todos los nombres de claves que comienzan con "Ejecutar" en HKEY_Local_Machine\Software\Microsoft\Windows\Current version y HKEY ¿Hay algún sospechoso? nombre de archivo en _current_User\Software\Microsoft\Windows\current version. Si es así, debe eliminar el valor clave correspondiente y luego eliminar la aplicación correspondiente.

2.) Verifique el grupo de inicio

Aunque los troyanos no están muy ocultos en el grupo de inicio, de hecho es un buen lugar para la carga y ejecución automática, por lo que todavía hay troyanos que Me gusta quedarme aquí. La carpeta correspondiente al grupo de inicio es C:\Windows\start menu\Programs\startup y la ubicación en el registro es HKEY_current_user\software\Microsoft\Windows\current version\Explorer\shell.

carpetas Inicio = "C:\windows\Menú Inicio\Programas\Inicio". ¡Presta atención para revisar estos dos lugares con frecuencia!

3.) Win.ini y System.ini también son escondites favoritos de los troyanos. Presta atención a estos lugares.

Por ejemplo, en la sección [Windows] de Win.ini, no hay ningún programa después de cargarlo y ejecutarlo en circunstancias normales.

Si es así, observe más de cerca qué es; Shell=Explorer.exe en la sección [arranque] de System.ini también es un buen lugar para cargar troyanos, así que preste atención aquí también. Cuando vea esto window0ws.exe:shell = explorer. Tenga en cuenta que lo más probable es que wind0ws.exe sea un programa de servidor troyano. Compruébalo rápidamente.

4.) Compruebe siempre los archivos que se enumeran a continuación, ya que es probable que los troyanos estén ocultos allí.

C:\windows\winstart.bat, C:\windows\wininit.ini, Autoexec.bat.

5.) Si se inicia el archivo EXE, ejecute este programa para ver Si el troyano está cargado en la memoria y el puerto está abierto. Si es así, significa que o el archivo ha iniciado un programa troyano, o el archivo tiene un programa troyano incluido, y tenemos que encontrar otro programa similar y reinstalarlo.

6.) Siempre hay una manera de activar un troyano, sólo en determinadas circunstancias.

Así que preste más atención a sus puertos, verifique los programas en ejecución y monitoree la mayoría de los troyanos y todo estará bien.

上篇: Número de teléfono del fondo de previsión de Zhuhai 下篇: El prólogo de Pigman: Las aventuras de un ángel