udp木马代码(udp病毒)
admin 发布:2022-12-19 23:16 160
本篇文章给大家谈谈udp木马代码,以及udp病毒对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
- 1、端口UDP7028有一个未知的木马,怎么清啊?怎么关了端口?
- 2、木马的问题scan.generic.udp!
- 3、scan.generic.udp
- 4、什么是UDP病毒
- 5、netstat an中出现UDP [fe 80::fd7c:c0c7:55dd:c9f8%12]446 *:*是中木马了吗?
端口UDP7028有一个未知的木马,怎么清啊?怎么关了端口?
只要软件报告木马了,就是把它拦截了,否则就是你中木马了...别担心
木马的问题scan.generic.udp!
我也困扰了很久,现在终于搞清楚了,不必担忧,这是卡巴的敏感造成的。凡是局域网中有p2p协议软件运行,就会发出UDP端口的信息扫描,比如迅雷、BT,还有pplive等程序。你可以测试一下,只要你运行了上述软件进行下载,他就会收到“攻击”提示。
scan.generic.udp
中了木马不要着急,我来帮你:
其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为有效的!!!!
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
这个是它的详细用法。
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
什么是UDP病毒
这是个将TCP、UDP flood攻击程序与一个广告下载器捆绑在一起的病毒。该病毒会接收木马种植者的命令来攻击指定的IP地址,从而造成被攻击者网络瘫痪,也会造成攻击者所在的局域网网络瘫痪。同时该病毒会疯狂的从网上下载广告软件到用户机器安装,使用户机器运行不稳定甚至蓝屏。
1、释放以下文件:
c:\wc1.exe
c:\wc2.exe
%systemdir%\mssock.dll
%systemdir%\AlxRes061201.exe
%systemdir%\scrsys061201.scr
%systemdir%\winsys32_061201.dll
%systemdir%\scrsys16_061201.scr
%systemdir%\winsys32_061201.dll
%WinDir%\winsys.ini
%systemdir%\wbem\Repository\FS\ 该目录中所有文件
2、wc2.exe 会释放一个名为mssock.dll,该DLL文件有伪装的微软版本信息,正常系统文件名应该为mswsock.dll。
3、wc2.exe 会修改注册表项来接管LSP进行启动:
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1001 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1002 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1003 "%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1004 "%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1005 "%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem 25 53 79 73 74 65 6D 52 ...
注:25 53 79 73 74 65 6D 52 ... 对应的ASCII码为:%SystemRoot%\system32\mssock.dll
4、mssock.dll 是个黑客程序,会连接 pqc888.3322.org 的 8004 端口等待接收指令。木马种植者可以命令肉机对指定IP和指定端口进行多线程TCP Foold或UDP Foold攻击,从而使被攻击者网络瘫痪,同时也会造成攻击者所在的局域网网络瘫痪。
5、wc1.exe 是个广告下载器,释放除wc2.exe 和 mssock.dll 的其它文件。
6、广告下载器 会修改如下注册表项来达到自启动的目的:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit "C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061201.dll start"
7、广告下载器 会添加以下注册表项来防止弹出的网页:music.51zc.com 和 news.51zc.com被百度搜霸、雅虎助手、IE浏览器和Google工具条拦截:
HKCU\Software\Baidu\BaiduBar\WhiteList\*.music.51zc.com;news.51zc.com*
HKCU\Software\Yahoo\Assistant\Assist\adwurl\;news.51zc.com;* 0x2
HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow\music.51zc.com;news.51zc.com;
HKCU\Software\Google\NavClient\1.1\whitelist\allow2 "|music.51zc.com;news.51zc.com;|"
8、广告下载器 会通过发送窗口消息来躲避雅虎助手的广告拦截。
9、广告下载器 会尝试查找并关闭进程:KRegEx.exe、KVXP.kxp。
10、广告下载器 会尝试往瑞星、AVP的注册表监控等实时监控窗口发送允许消息并关闭实时监控窗口,从而躲避实时监控。
11、广告下载器 会启动IE然后对其进行注入,通过IE从网上下载相当数量的广告到用户机器并安装,从而避免被防火墙拦截。
netstat an中出现UDP [fe 80::fd7c:c0c7:55dd:c9f8%12]446 *:*是中木马了吗?
那个是一个IP地址,被加密了,446端口连接,这个是没事的,应该是一个软件的连接端口,正常!
关于udp木马代码和udp病毒的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
版权说明:如非注明,本站文章均为 AH站长 原创,转载请注明出处和附带本文链接;
相关推荐
- 05-13全国病毒感染最新消息,全国病毒感染最新消息2023年8月
- 05-09网页代码,网页代码快捷键
- 05-06单页网站的代码(完整的网页代码)[20240506更新]
- 05-06个人主页图片代码(个人主页图片代码怎么弄)[20240506更新]
- 05-06提取微信名片代码(微信名片信息提取)[20240506更新]
- 05-06php后台权限管理代码(php管理员权限)[20240506更新]
- 05-06付费观看代码php(付费观看代码)[20240506更新]
- 05-06在线html执行代码(html怎么运行)[20240506更新]
- 05-06源代码管理资源管理器(资源管理器运行代码)[20240506更新]
- 05-06代码源软件库(程序代码库)[20240506更新]
取消回复欢迎 你 发表评论:
- 标签列表
- 最近发表
- 友情链接