udp木马代码（udp病毒）

本篇文章给大家谈谈udp木马代码，以及udp病毒对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

• 1、端口UDP7028有一个未知的木马，怎么清啊？怎么关了端口？
• 2、木马的问题scan.generic.udp!
• 3、scan.generic.udp
• 4、什么是UDP病毒
• 5、netstat an中出现UDP [fe 80::fd7c:c0c7:55dd:c9f8％12]446 *：*是中木马了吗？

端口UDP7028有一个未知的木马，怎么清啊？怎么关了端口？

只要软件报告木马了,就是把它拦截了,否则就是你中木马了...别担心

木马的问题scan.generic.udp!

我也困扰了很久，现在终于搞清楚了，不必担忧，这是卡巴的敏感造成的。凡是局域网中有p2p协议软件运行，就会发出UDP端口的信息扫描，比如迅雷、BT,还有pplive等程序。你可以测试一下，只要你运行了上述软件进行下载，他就会收到“攻击”提示。

scan.generic.udp

中了木马不要着急，我来帮你：

其实中毒后的处理方法就是那么几种，但是借助杀毒软件用手工方法处理是最为有效的！！！！

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！

由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：

1.)检查注册表

看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

2.)检查启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell

Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！

3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方

比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里

C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动

所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

另外，你也可以试试用下面的办法来解决：

从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用。

这个是下载地址。

这个是它的详细用法。

一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下：

六款主流杀毒软件横向评测

消费者该如何选择？六款杀毒软件横向评测(这个要详细些)

什么是UDP病毒

这是个将TCP、UDP flood攻击程序与一个广告下载器捆绑在一起的病毒。该病毒会接收木马种植者的命令来攻击指定的IP地址，从而造成被攻击者网络瘫痪，也会造成攻击者所在的局域网网络瘫痪。同时该病毒会疯狂的从网上下载广告软件到用户机器安装，使用户机器运行不稳定甚至蓝屏。

1、释放以下文件：

c:\wc1.exe

c:\wc2.exe

%systemdir%\mssock.dll

%systemdir%\AlxRes061201.exe

%systemdir%\scrsys061201.scr

%systemdir%\winsys32_061201.dll

%systemdir%\scrsys16_061201.scr

%systemdir%\winsys32_061201.dll

%WinDir%\winsys.ini

%systemdir%\wbem\Repository\FS\ 该目录中所有文件

2、wc2.exe 会释放一个名为mssock.dll，该DLL文件有伪装的微软版本信息，正常系统文件名应该为mswsock.dll。

3、wc2.exe 会修改注册表项来接管LSP进行启动：

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1001 "%SystemRoot%\system32\mswsock.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1002 "%SystemRoot%\system32\mswsock.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1003 "%SystemRoot%\system32\mswsock.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1004 "%SystemRoot%\system32\rsvpsp.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1005 "%SystemRoot%\system32\rsvpsp.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...

注：25 53 79 73 74 65 6D 52 ... 对应的ASCII码为：%SystemRoot%\system32\mssock.dll

4、mssock.dll 是个黑客程序，会连接 pqc888.3322.org 的 8004 端口等待接收指令。木马种植者可以命令肉机对指定IP和指定端口进行多线程TCP Foold或UDP Foold攻击，从而使被攻击者网络瘫痪，同时也会造成攻击者所在的局域网网络瘫痪。

5、wc1.exe 是个广告下载器，释放除wc2.exe 和 mssock.dll 的其它文件。

6、广告下载器 会修改如下注册表项来达到自启动的目的：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit "C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061201.dll start"

7、广告下载器 会添加以下注册表项来防止弹出的网页:music.51zc.com 和 news.51zc.com被百度搜霸、雅虎助手、IE浏览器和Google工具条拦截：

HKCU\Software\Baidu\BaiduBar\WhiteList\*.music.51zc.com;news.51zc.com*

HKCU\Software\Yahoo\Assistant\Assist\adwurl\;news.51zc.com;* 0x2

HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow\music.51zc.com;news.51zc.com;

HKCU\Software\Google\NavClient\1.1\whitelist\allow2 "|music.51zc.com;news.51zc.com;|"

8、广告下载器 会通过发送窗口消息来躲避雅虎助手的广告拦截。

9、广告下载器 会尝试查找并关闭进程：KRegEx.exe、KVXP.kxp。

10、广告下载器 会尝试往瑞星、AVP的注册表监控等实时监控窗口发送允许消息并关闭实时监控窗口，从而躲避实时监控。

11、广告下载器 会启动IE然后对其进行注入，通过IE从网上下载相当数量的广告到用户机器并安装，从而避免被防火墙拦截。

netstat an中出现UDP [fe 80::fd7c:c0c7:55dd:c9f8％12]446 *：*是中木马了吗？

那个是一个IP地址，被加密了，446端口连接，这个是没事的，应该是一个软件的连接端口，正常！

关于udp木马代码和udp病毒的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。