我给你找来一些木马的运行端口
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
1、停止服务名为WinS Client和Network Connections Sharing的两项服务
2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值
1999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束
2、删除c:Windows目录下的notpa.exe程序
3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中包含c:Windows otpa.exe /o=yes的键值
2001端口的关闭:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
1、首先使用进程管理软件将进程Windows.exe杀掉
2、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices项中名为Windows的键值
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除
5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1
6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand
项中的c:Winntsystem32S_SERVER.EXE %1键值改为
C:WinNTNOTEPAD.EXE %1
2023端口的关闭:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程
2、删除c:Windows目录下的sysrunt.exe程序文件
3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
4、重新启动系统
2583端口的关闭:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中的WinManager = "c:Windowsserver.exe"键值
2、编辑Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出
3、重新启动系统后删除C:Windowssystem SERVER.EXE
3389端口的关闭:
首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
Win2000关闭的方法:
1、Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
2、Win2000pro开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
Winxp关闭的方法:
在我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
1、使用进程管理工具结束msblast.exe的进程
2、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
项中的"Windows auto update"="msblast.exe"键值
3、删除c:Winntsystem32目录下的msblast.exe文件
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
1、请在开始--运行中输入cmd(98以下为command),然后 cd C:Winntsystem32(你的系统安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
2、到C:Winntsystem32(系统目录)下删除r_server.exe admdll.dll
raddrv.dll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:Winntfontsexplorer.exe)
2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:Winntexplorer.exe)
3、删除C:Winntfonts中的explorer.exe程序。
4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun项中的Explorer键值。
5、重新启动机器。
6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭
关闭6129端口:
1、选择开始--设置--控制面板--管理工具--服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
2、到c:Winntsystem32(系统目录)下将DWRCS.EXE程序删除。
3、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS键值删除
6267端口的关闭:
6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下:
1、启动到安全模式下,删除c:Winntsystem32下的DIAGFG.EXE文件
2、到c:Winnt目录下找到regedit.exe文件,将该文件的后缀名改为.com
3、选择开始--运行输入regedit.com进入注册表编辑页面
4、修改HKEY_CLASSES_ROOTexefileshellopencommand项的键值为
"%1" %*
5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中名字为Diagnostic Configuration的键值
6、将c:Winnt下的regedit.com改回到regedit.exe
6670、6771端口的关闭:
这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口,清除该木马的方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
Run项中的‘System32‘=c:Windowssystem32.exe键值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本2.0-3.0)键值
3、重新启动机器后删除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)
6939 端口的关闭:
这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下:
1、编辑注册表,删除
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesOnce
四项中所有包含Msgsrv16 ="msgserv16.exe"的键值
2、重新启动机器后删除C:Windowssystem目录下的msgserv16.exe文件
6969端口的关闭:
这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Services项中的"PServer"= C:WindowsSystemPServer.exe键值
2、重新启动系统后删除C:WindowsSystem目录下的PServer.exe文件
7306端口的关闭:
这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下:
1、你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径
2、如果程序名为Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马
3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序。
4、编辑注册表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中与该程序有关的键值删除
7511端口的关闭:
7511是木马程序聪明基因的默认连接端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉MBBManager.exe这个进程
2、删除c:Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程序文件,删除c:Winntsystem32目录下的editor.exe文件
3、编辑注册表,删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinNTMBBManager.exe键名为MainBroad BackManager的项。
4、修改注册表HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改为c:WinntNOTEPAD.EXE %1
5、修改注册表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand
项中的C:WinNTexplore32.exe %1键值改为C:WinNTWinHLP32.EXE %1
7626端口的关闭:
7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下:
1、启动机器到安全模式下,编辑注册表,删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun
项中内容为c:Winntsystem32Kernel32.exe的键值
2、删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的键值
3、修改HKEY_CLASSES_ROOT xtfileshellopencommand项下的C:Winntsystem32Sysexplr.exe %1为C:Winnt otepad.exe %1
4、到C:Windowssystem32下删除文件Kernel32.exe和Sysexplr.exe
8011端口的关闭:
8011端口是木马程序WAY2.4的默认服务端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉msgsvc.exe的进程
2、到C:Windowssystem目录下删除msgsvc.exe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的键值
15=NETSTAT PORTsx!
21=Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, ebEx, WinCrashlA
22=SSH PORTPFXP
23=Tiny Telnet Server:]nT
25=Shtrilitz Stealth, Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30, Antigen, Email Password Sender, Haebu Coceda, Kuang2, ProMail trojan, TapiraswZ{\n
31=Agent 31, Hackers Paradise, Masters ParadiseW
41=DeepThroatAuwc\
53=DOMAIN PORT
58=DMSetupZ^.(a"
63=WHOIS PORTW
79=Firehotckerbi\
80=Executor 110=ProMail trojanK R*EK
90=DNS PORTo
101=HOSTNAME PORT!Dz`6d
110=POP3 PORTk3
121=JammerKillahI
137=NETBIOS Name Service PORTrB
138=NETBIOS Datagram Service PORTcI",
139=NETBIOS Session Service PORTm
194=IRC PORTBj
406=IMSP PORTi]_v
421=TCP Wrappers(L
456=Hackers ParadiseV%RWk
531=RasmindH
555=Ini-Killer, Phase Zero, Stealth Spy!7f
666=Attack FTP, Satanz Backdoorl9ulO
911=Dark Shadowp
999=DeepThroat-
1001=Silencer, WebEx+s8K=
1011=Doly Trojan-v*A
1012=Doly TrojanH=y}
1024=NetSpyy)
1045=RasminA'
1090=XtremeS
1095=RatP
1097=Ratq
1098=Rat8,p^#
1099=RatVx_+y
1170=Psyber Stream ServerL
1170=Voicep_
1234=Ultors Trojan=Qn]
1243=BackDoor-G, SubSeven*-pD
1245=VooDoo Doll|m^|q
1349=BO DLLnm?'0
1492=FTP99CMPYdWFu
1600=Shivka-Burka'dL
1807=SpySenderDP6
1080=SOCKS PORT$
1981=Shockrave(oRZR]
1999=BackDoor 1.00-1.03B
2001=Trojan CowKSiq.
2023=RipperHF
2115=Bugs:(k5
2140=Deep ThroatQqM:l
2140=The Invasor(
2565=Striker;{p
2583=WinCrash$
2801=Phineas Phucker}\)*
3024=WinCrash--
3129=Masters ParadiseAq/_Xn
3150=Deep Throat, The Invasor$UDD
3700=Portal of DoomPrd!
4092=WinCrash2c
4567=File Nailj~mR
4590=ICQTrojanz4$;
5000=Bubbel, Back Door Setup, Sockets de Troie$
5001=Back Door Setup, Sockets de TroieB(c
5321=Firehotcker$|
5400=Blade Runnerxg%tf
5401=Blade Runner?{ g
5402=Blade Runner*
5550=JAPAN Trojan-xtcp@AGxs0
5555=ServeMe{SS
5556=BO Facil#]6
5557=BO Facil.
5569=Robo-Hackx#R
5742=WinCrash;+e[6
6400=The ThingqhC
6666=IRC SERVER PORT~FW
6667=IRC CHAT PORToy[0U6
6670=DeepThroath@;
6711=SubSevenK5y~
6771=DeepThroatH6rPCb
6776=BackDoor-G, SubSevenhD^i
6939=Indoctrination =xM}2
6969=GateCrasherzgX
6969=Priority"B
7000=Remote Grab,0
7300=NetMonitorI5X[
7301=NetMonitorJk3
7306=NetMonitorG
7307=NetMonitor[
7308=NetMonitorU
7626=G_Client Wi
7789=Back Door Setup, ICKiller9\Ns{
9872=Portal of Dooma
9873=Portal of Doomvb_kO
9874=Portal of Doom C
9875=Portal of Doom0rO!5u
9989=iNi-Killer7[Kgt
10067=Portal of DoomF'Omq
10167=Portal of DoomX-v2RU
10520=Acid Shivers/
10607=ComaLKs}
11000=Senna Spyf/
11223=Progenic trojanFI{
12223=Hack?9 KeyLogger:b
12345=GabanBus, NetBus, Pie Bill Gates, X-billG%UQP
12346=GabanBus, NetBus, X-bill6:fX
12361=Whack-a-moler{/ho
12362=Whack-a-moleY
12631=WhackJob('\Q
13000=Senna SpyL|
16969=Priority6"
20001=MillenniumCF
20034=NetBus 2 Proo.9
21544=GirlFriendo
22222=ProsiakP_Dv
23456=Evil FTP, Ugly FTPp
26274=Delta Source:
29891=The Unexplained4$sp
30029=AOL Trojan 30100=NetSphere 1.27a, NetSphere 1.31-g%
30101=NetSphere 1.31, NetSphere 1.27a(]C
30102=NetSphere 1.27a, NetSphere 1.3114
30103=NetSphere 1.311Dqf
30303=Sockets de Troie=
31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBOk-
31338=NetSpy DK 31338=Back Orifice, DeepBOO)Ssk
31339=NetSpy DKcr4}|L
31666=BOWhackx
31785=Hack Attacktw8+z
31787=Hack AttackR.A
31789=Hack Attack'3}f
31791=Hack Attacku%"80
33333=Prosiak}
34324=BigGluck, TN4
40412=The SpyF:m
40421=Agent 40421, Masters Paradise+ND
40422=Masters Paradise4:
40423=Masters ParadiseSC0J
40426=Masters Paradiseya
47262=Delta SourceY7C'Lw
50505=Sockets de TroieHec}
50766=Foreb
53001=Remote Windows ShutdownK6
54321=School Bus .69-1.11Z
60000=Deep Throat2s
61466=Telecommando] Y-
65000=DevilqHT8]
69123=ShitHeep rO
中新网广州5月19 (索有为 曾祥龙 苏洪冬)记者19日从广东省公安厅获悉,近日,在公安部的协调指挥下,广东警方以及北京、上海、江苏、贵州等省市警方同步展开“安网3号”专案收网行动,抓获以陈某、许某伟、桑某等为首的240余名犯罪嫌疑人,破获案件180余起,查获木马病毒程序130余个,缴获扣押服务器、电脑、手机等涉案物品一批。
2016年9月,东莞警方接受害人江某报案称,其电脑中了木马病毒导致支付宝遭盗刷,损失人民币1372元。同时,东莞警方也接到支付宝(中国)网络技术有限公司报案称,公司在受理客户投诉时发现,有多名客户的支付宝账户被盗刷前存在异常登录的情况。接报后,警方经分析研判,发现盗刷案背后存在一个利用计算机木马病毒程序实施网络盗窃的特大犯罪团伙。
相关情况上报后,广东省公安厅立即成立专案组对全省非法制作、出售、传授木马病毒程序网络行为和案件线索进行集中梳理核查,并将此案列为“安网3号”专案深入侦查。在支付宝公司及360、金山等互联网安全企业的配合下,专案组发现这是一起由陈某、许某伟、桑某等为首利用制售计算机木马实施网络盗窃的特大犯罪团伙案件,该团伙成员众多、结构严谨、层级分明,通过QQ等向受害人发送捆绑木马程序的文件,当受害人点击文件引致木马程序静默运行后,随即对用户屏幕监控、键盘记录、远程控制等方式窃取受害人网络金融账户、游戏账号等密码信息,最终实现盗刷受害人账户资金或变现交易游戏装备。
广东省公安厅有关负责人表示,广东警方将始终保持对黑客攻击破坏、网络侵犯公民个人信息、网络诈骗等突出犯罪的严打高压态势,切实维护民众合法权益,保障网络安全稳定运行。同时,警方提醒民众要增强网络安全防范意识,无论是单位还是个人的电脑、手机等上网设备,都要安装使用安全防范软件,定期扫描系统,查杀木马病毒程序,及时更新病毒库和系统补丁,不要轻易点击访问不明网页链接,尤其是不良网站的链接和陌生人通过QQ发送的链接。如果不慎遭受黑客攻击,应及时退出网络金融账号、微信等重要平台并切断网络,避免隐私泄露或金融账户遭盗刷。
因好莱坞大片《特洛伊》而一举成名的“木马”(Trojan),在互联网时代让无数网民深受其害。无论是“网购”、“网银”还是“网游”的账户密码,只要与钱有关的网络交易,都是当下木马攻击的重灾区,用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。
No1:“支付大盗”
“支付大盗”花钱上百度首页。
2012年12月6日,一款名为“支付大盗”的新型网购木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”,诱骗网友下载运行木马,再暗中劫持受害者网上支付资金,把付款对象篡改为黑客账户。
No2:“新鬼影”
“新鬼影”借《江南Style》疯传。
火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR(主引导扇区)中,如果用户电脑没有开启安全软件防护,中招后无论重装系统还是格式化硬盘,都无法将其彻底清除干净。
No3:“图片大盗”
“图片大盗”最爱私密照。
绝大多数网民都有一个困惑,为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片,并筛选大小在100KB到2MB之间的文件,暗中将其发送到黑客服务器上,对受害者隐私造成严重危害。
No4:“浮云”
“浮云”木马震惊全国。
盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单,却在后台执行另外一个高额定单,用户确认后,高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃
No5:“黏虫”
“黏虫”木马专盗QQ。
“QQ黏虫”在2011年度就被业界评为十大高危木马之一,2012年该木马变种卷土重来,伪装成QQ登录框窃取用户QQ帐号及密码。值得警惕的是不法分子盗窃QQ后,除了窃取帐号关联的虚拟财产外,还有可能假冒身份向被害者的亲友借钱。
No6:“怪鱼”
“怪鱼”木马袭击微博。
2012年十一长假刚刚结束,一种名为“怪鱼”的新型木马开始肆虐网络。该木马充分利用了新兴的社交网络,在中招电脑上自动登录受害者微博帐号,发布虚假中奖等钓鱼网站链接,绝对是2012年最具欺骗性的钓鱼攻击方式之一。
No7:“打印机木马”
“打印机木马”疯狂消耗纸张。
2012年6月,号称史上最不环保的“打印机木马”(Trojan.Milicenso)现身,美国、印度、北欧等地区大批企业电脑中招,导致数千台打印机疯狂打印毫无意义的内容,直到耗完纸张或强行关闭打印机才会停止。
No8:“网银刺客”
“网银刺客”木马暗算多家网银。
2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发,该木马恶意利用某截图软件,把正当合法软件作为自身保护伞,从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金,影响十余家主流网上银行。
No9:“遥控弹窗机”
“遥控弹窗机”木马爱上偷菜。
“遥控弹窗机”是一款伪装成“QQ农牧餐大师”等游戏外挂的恶意木马,运行后会劫持正常的QQ弹窗,不断弹出大量低俗页面及网购钓鱼弹窗,并暗中与黑客服务器连接,随时获取更新指令,使受害者面临网络帐号被盗、个人隐私泄露的危险。
No10:“Q币木马”
“Q币木马”元旦来袭。
新年历来是木马病毒活跃的高峰期,2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假QQ弹窗,诱骗中招用户在Q币充值页面上进行支付,充值对象则被木马篡改为黑客的QQ号码,相当于掏钱替黑客买Q币。
No11: “修改中奖号码”
2009年6月,深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点,深圳市某技术公司软件开发工程师程某,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。
我来说两句