首页 >> 今日明天

木马病毒会跨系统（木马病毒感染）

今日明天 2022年06月01日

本文导读目录：

1、木马病毒

2、木马病毒会从一个盘跑到除C盘以外其他的盘吗？

3、双系统，一个系统中病毒或木马会影响另一个系统吗

4、木马和病毒程序会进入电脑系统程序吗

5、双系统如何防止木马病毒影响到其他系统磁盘

木马病毒

以下几种类型的病毒为用户经常会遇到的病毒

◇引导型病毒

◇文件型病毒

◇蠕虫病毒

◇宏病毒

◇木马病毒

1.引导型病毒

引导型病毒是一种感染系统引导区的病毒。引导型病毒利用操作系统的引导模块物力位置固定的特点，抢占据该物理位置，获得系统控制权，而将真正的引导区内容转移或替换，待病毒程序执行后，再将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。由于引导型病毒多使用汇编语言编写，所以执行速度很快，用户很难察觉。

传播方式

引导型病毒通常是通过移动存储介质来传播的，用户只要在相互拷贝文件的时候注意一下，就可以减少感染引导型病毒的机会。

感染对象

引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒、BR（引导区）病毒。MBR病毒也称为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中，典型的病毒有大麻(Stoned)、2708、INT60病毒等。BR 病毒是将病毒寄生在硬盘逻辑0扇或软盘逻辑0扇（即0面0道第1个扇区），典型的病毒有Brain、小球病毒等。

病毒典型代表——小球病毒

小球病毒是我国发现的第一个计算机病毒，通过使用带有小球病毒的软盘启动计算机，就可以把病毒传染给计算机，再使用该计算机读取没有病毒的软盘，就又会把病毒传染给软盘。小球病毒发作时在屏幕上显示一个小球，呈正弦曲线般跳动，干扰用户的正常使用，可以说算是病毒中比较温和的一个了。

2.文件型病毒

文件型病毒是主要感染可执行文件的病毒，它通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序。

传播方式：

当宿主程序运行时，病毒程序首先运行，然后驻留在内存中，再伺机感染其它的可执行程序，达到传播的目的。

感染对象：

扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。

病毒典型代表——CIH

CIH病毒，别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，主要感染Windows95/98下的可执行文件，在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，危害最大的是v1.2版本，此版本只在每年的4月26日发作，又称为切尔诺贝利病毒（前苏联核事故纪念日）。

CIH病毒只在Windows 95/98环境下感染发作，当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。

3.蠕虫病毒

蠕虫病毒和一般的计算机病毒有着很大的区别，对于它，现在还没有一个成套的理论体系，但是一般认为：蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重的占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。

传播方式：

蠕虫病毒常见的传播方式有2种：

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷，通过网络主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个网络中，这也是是个人计算机被感染的主要途径。

感染对象：

蠕虫病毒一般不寄生在别的程序中，而多作为一个独立的程序存在，它感染的对象是全网络中所有的计算机，并且这种感染是主动进行的，所以总是让人防不胜防。在现今全球网络高度发达的情况下，一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。

病毒典型代表——震荡波

震荡波（Worm.Sasser）病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时，在本地开辟后门，监听TCP 5554端口，做为FTP服务器等待远程控制命令，黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时，病毒开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

4.宏病毒

宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序，它通常寄存在文档或模板的宏中。宏病毒是一种跨平台的病毒，在Windows, OS/2, Macintosh System等操作系统中均可表现出病毒行为。宏病毒用Word Basic语言编写，Word Basic语言提供了许多系统级底层调用，如使用DOS系统命令，调用Windows API，调用DDE或DLL等，这些操作均可对系统构成直接威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行，所以宏病毒的危害性极大。

传播方式：

用户一旦打开感染了宏病毒的文档，包含在其中的宏就会被执行，于是宏病毒就会被激活，转移到了计算机上，并将自身复制到文档或者Normal模板中，从此以后，所有被打开或者关闭的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

感染对象：

宏病毒是传染数据文件的病毒，仅向WORD，EXCEL和ACCESS编制的文档进行传染，不会传染可执行文件。但是由于Office软件在全球具有广泛的用户，所以宏病毒的传播仍然十分迅速和广泛。

病毒典型代表——新爱虫

新爱虫病毒的传播主要以Word文档为主，该病毒为周期性爆发，激活病毒的条件是计算机日期为“3、6、9、12”月份，并且日期为5号时，此时病毒会改写C盘下的重要系统文件autoexec.bat，把一条删除C盘数据的命令写进去，当用户重新启动计算机时，就会发觉C盘下的所有文件已被删除，受破坏的用户的损失将不可估量。

5.木马病毒

木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马，因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式：

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有：

伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马

伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马

把自己绑定在正常的程序上面，高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，一旦用户安装winzip程序，就会不知不觉地把木马种下去

伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象：

木马程序感染的对象是整台计算机。

病毒典型代表——网银大盗

网银大盗（Trojan/PSW.HidWebmon）是 2004年4月18日被江民反病毒中心率先截获的木马病毒，该木马偷取XX银行个人网上银行的帐号和密码，发送给病毒作者，给成千上万用户的资金安全带来严重威胁；紧接着，又出现了网银大盗的变种病毒，窃取的网上银行帐号和密码的范围从1家直接扩展到数十家，是木马病毒中具有严重危害性的一个。

祝你好运 ^_^

木马病毒会跨系统

木马病毒会从一个盘跑到除C盘以外其他的盘吗？

一般如果启动带病毒的程序后，病毒都会感染系统文件，也就是会跑到C盘。建议你用好一些的杀毒软件在电脑安全模式下进行一次全盘扫描。在正常模式下可能由于一些进程在使用，里面的病毒就可能扫不出来，开机时按F8进入安全模式后启动杀毒软件进行扫描就可以扫出来了。

双系统，一个系统中病毒或木马会影响另一个系统吗

我给你看一篇，我试过了，可以在双系统下依然很有效 ----如果觉得好请把分加给我吧，我快没分了想和大家分享一下，我们几个防毒爱好者在不断的测试各种防毒试验和不断思考中新发现的一个方法。用它可以实现对光盘操作系统和写保护的u盘的写入，也可以用在虚拟光驱虚拟出来的光盘上。大家都知道windows7吧，以它强大的安全特性确实成为一批使用者的青睐，那么能不能让XP系统的电脑的防护也竟可能的借鉴一下它的安全性呢？我想WIN7可以有效阻止内存中运行的进程之间的通话，对防御木马病毒是很有效的，不过我比较喜欢它的另一个特性，就是它如何保持8G大小的系统文件不让病毒进入。其实win7的内核机制在发挥作用，有一个阻止所有的外来文件对系统做任何修改和写入和删除的机制，把系统文件固化在了硬盘上，第三方软件不太可能对系统做任何改动的，同时它使用了重定向的功能，把所有的改动都移动在一个专门的目录里，也就相当于影子的缓冲区了。我认为这套思路很好，固化+重定向的组合，毕竟影子系统只有重定向的功能，没有固化呀！穿了影子后就可以随便做破坏了。既然如此我就要对自己的电脑做一下尝试，让自己的硬盘里也拥有固化（即堵）+重定向（即疏导）的功能。呵呵。。。。这样设置的电脑还有哪些防毒漏洞？还有人能让这样的设置的电脑也中病毒吗？[fly]欢迎大家来完善或借鉴到自己的安全设置中[/fly] 防御病毒组合思路。记得，一定要组合，因为一个软件总有不足，需要配合。防御病毒我分为硬盘防毒和内存防毒。内存防毒呢，主要是防御进程中的病毒（内存防毒主要是组策略和HIPS，我还没有理出头绪，请高手指点吧）。而硬盘防毒也就是FD吧，入口防御。硬盘防毒，我们又可以分为系统区和非系统区以及引导区防毒。先说非系统盘分区，看了下面的图片就知道，这个思路的基础了，首先，我们把所有的文件时间都被改成了2088年8月 8日8：08，这样做能对影子类软件和权限的保护起到一个监视的作用。同时预防理论上极少数BIOS类病毒，怕它们在系统启动前就从BIOS里进入硬盘，方便大家按时间的变化找到被修改过的文件。同时这样也很美观，呵呵。。。。。。这是用 TOUCHPRO修改的(是电脑爱好者杂志推荐下载)，发现同类软件里只有这个软件可以修改文件目录的时间。用这个方法我们也可以检测出绿色软件有没有在运行和做了设置后，回写了目录里的一些文件，并帮助我们成功得把一些绿色杀毒软件设置能只读权限，不怕病毒破坏。在非系统分区里，我们可以大胆的把扫描后确认安全的目录和文件，设置能只读权限（几秒钟的事情）。不过光靠这样来保护是不行的，一方面一些病毒的底层格式化行为还是会破坏这样的权限的，另一方面也会妨碍有程序回写文件，所以我们还是需做一些协同的操作。沙盘在防御病毒的同时，①竟然可以往被写保护的硬盘分区和目录里面写文件（重定向模拟的），②同时沙盘会拦截各种底层的磁盘操作和驱动的加载，有效地保护了只读权限。③可以模拟那些被写保护的文件的回写操作。④另外由于发现有少数绿色软件还是会向硬盘甚至C分区写文件（制作了不太好啊，推荐用 VMware 公司的安装扫描软件VMware ThinApp 4.0.1绿色版来自制绿色软件），沙盘也正好起到避免系统垃圾产生的作用。同样的，就算有病毒穿透了沙盘，那也没什么大用处，不太可能再穿透只读权限。经测试，下载一个普通的病毒样本，因为硬盘数据大都是只读的，写保护的，写不进去，所以它只能乖乖地在我们提供的沙盘里运行，别无出路。 ---------在这里由于不可能完全保证沙盘能100%防御住所有的病毒，用只读权限就大大的保证了可靠性。可谓完美的组合。如此设置，数据便无忧矣与硬盘之比寿兮安之若素数据之永无恙兮岂敢毁伤诸毒从此无所归兮若丧家之犬拒之于堤外兮曰篱笆高筑疏之于渠内兮曰因势利导惟斯之妙术兮曰禹王再世 ================================================================================= 二楼经过上面的设置，非系统分区基本上就不怕病毒了(包括极少数格式化病毒)。如果还担心沙盘总是反复读写硬盘同一个地方，从而缩短了硬盘寿命的话，如果电脑的内存够大的话，我们可以用RAMDISK，在内存中划出一个空间，用沙盘自带的功能把“保存的文件夹”设置到内存中去。经测试效果很好。p:内存更大的话，还可以把 WINRAR\IE\FLASHGET\迅雷\WMP\播放器的缓存目录也放到内存去，打造一个很少写硬盘（包括系统分区）的电脑（网上有篇文章，制作Windows光盘运行版” ，有兴趣可以去看看），上网和下载BT时，我的硬盘很少亮灯,呵呵。。再来谈谈，系统分区和引导区。建议用影子系统，配合TOUCHPRO来完成。TOUCHPRO的效果同上，建议在每次启动电脑后，可以看看系统分区，一般 windows文件夹里只有5个文件会发生写操作，这是系统自己回写的。影子系统能不能和只读权限配合，这个我还没有测试过。希望有朋友来测一下（但沙盘和只读权限完全可以搭配）。有兴趣的话，可以在网上查查影子系统防穿测试，下载自己喜欢的影子（我推荐用RVS,SD），影子系统挑选可有讲究了，比如防穿透性，是否写入引导区等等，是内存模式还是硬盘模式等等，听说有款影子确实很有特色（是ShadowUser Pro），在安装需要重新启动的软件时，比如杀毒软件，重启后文件不会丢失。这个功能很有意思，和虚拟机的增量备份功能还有WINDOWS7的重定向差不多了，有病毒或设置出现问题的话，可以回到原来的影子状态，很不错。有的影子系统可以进入全硬盘保护模式，这个也很好。还有一个FBWF能实现对只读的或固化的文件（比如光盘）的写入修改模拟和按目录保护而不是按分区保护，也有的影子可以实现一次休眠，多次启动。可以根据自己喜好来挑选。但是影子系统不是完美无缺的，有个问题 -------最怕驱动型病毒，比如机器狗磁碟机类病毒穿透后写入真实的系统，所以RVS等影子就多了一个HIPS（主机防御）的监控功能来对付驱动加载，所以没有hips的影子可以挑选一个hips的软件，推荐毛豆防火(含规则包)。上网时，我基本上不用杀毒软件的，因为我的网速还是不太快（无线）。对了，再配合用最强悍的也是免费的毛豆防火墙（不带杀毒版本）来对付黑客还是很好的。还有一个原因，因为byshell内核级的木马运行的时候，很多杀毒软件的hips都发现不了，当然它穿不透影子，一般不用害怕。并且毛豆的 HIPS功能可以发现这个BYSHELL的行动，很强悍，还有也可以提醒机器狗类驱动的加载。 ================================================================== 那么在影子模式下，如果要安装一些软件该怎么办呢？可以使用免费的云端软件平台，它和影子系统可以完美的组合，弥补影子下不能安装软件的问题。而且这个重定向软件本身就是绿色软件，比如安装卡巴,NOD32,小红伞等杀毒软件，我都用它安装，这很符合有些人使用绿色杀毒软件的爱好。下载的网上的东东，就可以用三个杀毒软件一起查，特别方便。要删除的话，呵呵，直接手动删掉安装的目录就可以了。如果觉得云端不好用的话（占了19M内存，有可能有驱动兼容问题），也可以直接下载绿色的杀毒软件（我的NOD32就是绿色带监控的）。经过测试，发现杀毒软件的隔离区因为不在安装目录里，所以完全可以把杀毒软件的安装目录设置只读权限。不用的时候也不会中毒，也照样可以随时启动杀毒。------只读权限就是强大。如果你是个精力旺盛的反病毒斗士，我推荐你到无忧论坛学习制作单文件操作系统（像WINpe一样），然后把系统设置成只读权限。一个文件很好维护吧！！！再用FBWF控制台（微软开发的写入过滤器），实现所有的文件重定向，好了你的系统和WINODOWS7一样的安全了吧！！！最后推荐大家广泛的使用重定向软件来保护硬盘里的文件不被破坏，有条件安装WIN7也是个好的选择，它的重定向等防御能力比XP已经强了不少。 ============================================ 再提供一个有趣的用途有很多软件（特别是游戏类软件）不允许用户同时运行多个实例，但在Sandboxie中可以通过建立多个沙盘来突破这个限制。因为每一个沙盘都是一个独立的虚拟区域，在不同的沙盘中运行的同一个软件都只能检测到自身的存在而误以为只有一个实例在运行。以QQ游戏大厅为例，为了防止作弊，它是不允许在同一个计算机上同时开启多个客户端的。但我们在Sandboxie中建立了两个沙盘，并分别在两个沙盘中运行QQ游戏大厅，非常简单地就实现了“双开”。只要计算机的性能足够强劲，我们在理论上甚至可以无限制地开启任意多个QQ游戏大厅。