新型手机病毒悄然而来 陌生链接请勿打开
新型手机病毒悄然而来 陌生链接请勿打开
编辑日期： 字体：
一款名为“2015年相册”的新型手机病毒，在今年2月以来迅速传播。
诈骗团伙内部分工明确
桌面上放着三部手机，分别属于黑客、受害人以及受害人朋友。
犯罪嫌疑人已经开始对受害人相关信息进行分析，并已开始小量利用该批信息非法获利。
【扩散!点击查看”我们的合影”骗你倾家荡产!千万别点链接!】
一款新型的病毒悄然而来，很多消费者收到一条短信，内容为：“这是我们的相册，打开看看”，并在后面附上了链接。但是一旦点击了链接，受害人的个人信息就会自动发送到诈骗团伙的后台系统里。到底是谁制造了这样的病毒?他们是一群怎样的人?这款名为“2015年相册”的手机病毒是如何在手机间互相传播，如何控制我们的手机?又是如何造成我们的财产损失的呢?我们接着往下看。“互联网的一些事”推荐此文。
　点击查看“我们的合影”?这是骗局!别点击链接!
眼前这个低着头默不作声的年轻人，眉宇清秀，稚气未脱，从外表看，记者很难将他与诈骗嫌疑人联系在一起，也就是在两个月以前，广州警方在广东省茂名市将他抓获，由他散布的一款名为“2015年相册”的新型手机病毒，在今年2月以来迅速传播。
经警方统计，仅短短半个月内，被这名嫌疑人控制的手机数量超过1万台，通过网上支付盗刷他人银行卡20余次，在他用于诈骗的银行账户先后收到36笔款项共计18万元，这个看似涉世未深，甚至让人感觉有些腼腆的年轻人，为何会靠骗取他人钱财为生呢?
在民警的一再劝说下，他说出来自己的故事。他告诉记者，自己姓何，广东茂名人，今年26岁，读过技工学校，被捕前无业。
小何告诉央视财经《经济半小时》记者，自己在技校学的并不是计算机专业，毕业后也尝试过找工作，但是因为自己好逸恶劳，每份工作都没有做久，一年前在网上认识了安徽合肥的姜某，两人便开始计划利用木马病毒实施诈骗。
在暴利的驱使下，小何越陷越深，并自学黑客技术和电脑编程。据小何交代，诈骗团伙内部分工明确，其中，姜某负责购买手机病毒，小何负责修改病毒，并通过各种途径进行散布。此时的小何也一步步从门外汉，变成了这个诈骗团伙的技术骨干。
办案民警：在我们这个案件中，他基本上全程参与了案件的每个过程，从最开始去包括购买手机卡，去配置一些木马，包括木马下载的服务器的配置，以后后面群发那些撒播木马的短信还有诈骗木马短信，诈骗短信，都是全程参与了的。
今年3月9日，广州警方在小何的家中将其抓获，并且缴获一大批作案工具，在小何的笔记本中，民警发现几十个木马病毒的变种，参与整个案件侦办的警官告诉记者，第一眼看到小何时，办案民警也感觉有些意外。
办案民警：第一眼看到他，跟我们以前见到的一些诈骗分子感觉也不是，不太一样，他给我们感觉整个就像一个学生的感觉。
也就是眼前这个学生模样的小何，制造了这款名为“2015年相册”的手机病毒，该木马病毒具有上传短信、屏蔽短信、开启呼叫转移、群发短信等多种功能。
办案民警告诉记者，在诈骗嫌疑人眼中，这些被控制的手机，如同鱼缸里的鱼，需要的时候，诈骗分子可以随时收鱼。
办案民警：比如说他们对一个手机，被控制的手机，他们称之为鱼，然后他们做这种传播木马之后叫做钓鱼，最后如果他们就是决定对全部手机实施诈骗的时候，他们叫做收鱼或者叫收网。
这些涉及手机用户隐私的短信被小何所在的诈骗团伙疯狂的盗取，经过警方统计，仅仅半个月内，被控制的手机就超过了一万台，其中被上传至木马后台的短信数量超过400万条。那么这款名为“2015年相册”的手机病毒是如何在手机间互相传播，如何控制我们的手机?又是如何造成我们的财产损失的呢?
带着手机病毒，记者来到了反病毒实验室，在这里，安全专家陆兆华将对这款病毒进行细致的分析，通过直观的演示，我们可以直观看到这款病毒是如何控制我们的手机。桌面上放着三部手机，分别属于黑客、受害人以及受害人朋友。此时尾号为0624的受害人手机收到了一信息，内容为：“这是我们的相册，打开看看”，并在后面附上了链接。
某网站无线安全产品部工程师陆兆华：出现一个网址，你可以打开网址，它就是在下载。
这个链接其实是一个名叫“相片集”的应用程序，图标显示为几个人的合影，屏幕上有一个是否安装该应用程序的提示，记者留意到，这个名叫“相片集”的应用程序，却需要开通的权限包括发送短信，读取短信还有读取联系人数据等涉及用户隐私的内容。如果用户忽略了这些细节，点击安装后，受害人手机上会出现一些陌生人的合影。
央视财经《经济半小时》记者：在受害人的手机上，我觉得我什么都看不出来，我觉得没什么区别。
陆兆华：就是那个相册，觉得没有自己的相片在里面，他可能就不会关注了，然后里面也没有发现有什么一些程序，但是现在木马已经被植入了。
就在木马安装进受害人的手机时，出现了令人惊讶的一幕，黑客的手机里收到了一条尾号为0624的受害人手机发过来的信息，内容为只有两个字：“安装”。在记者并未对受害人手机进行任何操作的情况下，被害人手机通讯录里的朋友也收到了一条内容为“我们的相册”的短信。尾号为0624显示为被害人发送过来的，在受害人毫不知情的情况下，被害人的手机已经向通讯录内所有的联系人发送里这条带着病毒链接的信息。
陆兆华：同样在这里，因为这是他朋友，那么他在通讯录当中会有他的号码，会显示是他这个朋友发过来的一条短信。
通过屏蔽短信息、群发信息等操作，将该病毒传播给中毒手机通讯录中的联系人，从而形成了散发式的病毒传播。
在广州警方对“2015年相册”手机木马病毒的后台进行分析时发现，除了套刷他人信用卡，犯罪嫌疑人已经开始对受害人相关信息进行分析，并已开始小量利用该批信息非法获利。
警方：第一列就是手机的型号。
记者：病毒能识别手机型号。
警方：可以通过机身的信息来识别。
记者：第二列呢?
警方：第二列是通过机身的唯一识别码，换算出来的一串字符串，这种相当于机身唯一的id号
记者：我看里面涉及到全部的短信是吧?
警方：对。
除了能识别被控制的每一台手机的设备号外，“2015年相册”手机木马病毒的后台还能对每一台手机一对一的开启发送短信、屏蔽短信、开启呼叫转移等多种功能。
直到此时记者对这款名为“2015年相册”手机木马病毒有了全面的了解，通过手机发送带病毒链接的短信。链接里往往含有伪装成“apk”手机安装包文件的病毒木马程序。该网址链接实际是打不开的，但是当用户点击链接时，木马病毒就已经默默“潜入”手机，并侵入用户的通讯录，不停扩散同样的短信。这个病毒通过伪装成设备管理器，一旦用户激活就无法卸载，并且在手机上找不到，一直在后台运行，取得手机系统的管理权限，修改所有软件的文件内容，获取手机上所有软件中保存下来的数据，并屏蔽手机通讯和截获手机短信。
警方：通过手机通讯录传播的话，这个是以几何速度传播的，因为大家手机通讯录里面至少都有几百个朋友，而且是利用熟人的关系传播。
　电信诈骗冒充“公检法”!“通缉令”骗你没商量 800万元转眼就没
日上午9点左右，深圳的张女士在单位停车场停车时接到了一个电话，对方自称是北京邮政的工作人员，问她是否在邮政银行做过一笔3万元的小额贷款，对方表示如果当天上午十一点前不还款，就会从别的银行账号上强行扣款还钱。因为对方直接报出自己的全名以及其他身份信息，张女士没有太多的怀疑，表示自己从未在北京贷过任何款，对方表示应该可能有人冒用了张女士的身份信息，可以帮张女士将电话转到公安局，随后公安局的曾警官、检察院的刘检察官、翁检察官、穆检察长相继登场，要求张女士接受银行账户监管业务，张女士分多次将800多万元进行了账户监管，看到这里，大多数的电视机前的观众应该意识到这是一起典型的冒充公检法的电信诈骗，为何张女士并没有对这些所谓的工作人员产生怀疑呢?
深圳市南山分局刑警大队二中队副队长童跃：我们从2009年打击电信诈骗到现在，就是抓获犯罪嫌疑人之后，跟嫌疑人包括事主多次接触，嫌疑人在制定这个圈套的时候做过精心策划的，因为当时嫌疑人要求事主去查，事主打114去查，确实电话不错。到这个程度的时候，相应的检察机关，冒充这些人的(犯罪嫌疑人)，陆陆续续会增加，一步一步对事主心理认知进行一个强化。
但是张女士表示，因为在对方提供的网站上查询自己的名字，她的通缉令就挂在上面，身份信息全都对，她的身份证照片也挂在上面，她才没有怀疑对方的身份。
今年1月23日下午，办案民警根据掌握的线索，兵分两路在深圳抓获犯罪嫌疑人成某，在成都抓获嫌疑人杨某、郭某，并缴获大量信用卡和数万人的个人信息。经审查，嫌疑人郭某某、成某、杨某如实供述了非法获取、贩卖公民个人信息的事实。
深圳市公安局反信息诈骗中心民警吕福志：实际上很多诈骗当中，嫌疑人能够知道你的姓名，住在哪个地方，我打电话给你，我也知道你什么情况，我现在跟你核对你的身份证号，核对完以后，你们家是不是哪之类的。
央视财经《经济半小时》记者：这个太精确了。
吕福志：有了这样的信息以后，再加上通缉令，各种各样的，刚才提到的网络这些黑客的手段，或者说一些黑客产业链，包括假网站，或者改号电话，就是种种就已经可以完成我们实施诈骗的过程。
正是由于当前电信诈骗已经从多人演戏组团忽悠，演变到人机交互职能诈骗，集团化、专业化、智能化特点。深圳市公安局去年6月开通了中国国内第一条反信息诈骗咨询专线，重点针对涉案件类警情开展快速接处，并对求助群众开展宣传劝导，全力对电信诈骗资金链实施拦截封堵。
公开资料显示深圳警方开通反电信诈骗专线开通以来，共接群众来电80万余人次，最高一天达3964次;咨询员直接劝阻近19886人避免被骗汇款，涉及金额达1.6亿余元;帮助13203名事主快速拦阻被骗资金1.5亿余元，其中全额拦阻.3万元。
除此之外，日，深圳市公安局反信息诈骗中心、腾讯公司、中国互联网协会、银监局、三大运用商等机构发起成立“反信息诈骗联盟”，作为中国首个实现“警、企、民”完整合作的网络反信息欺诈组织，通过标记诈骗电话和短信、数据共享、案件侦破受理及安全防范教育等深度合作，向日益猖獗的信息诈骗产业链发起全面反击。
某网站安全市场总监王成：以前打击信息诈骗，大家都是孤军作战，我们通过这样一个协作的平台，多方协作平台，就形成一个快速反应的机制，这个快速反应机制，能够给协作方包括商、警方还有银行，提供快速的信息，快速的阻截，甚至于在诈骗分子被诈骗用户的过程中，资金还没有完全转出的过程中，我们就能通过警方的行政手段，通过银行能进行资金的快速拦阻，那样拦阻之后，甚至于冻结之后，我们再进行案件的跟踪，这是互联网公司在其中最大的价值。
　半小时观察：治理电信诈骗让法律说话
一个电话、一条短信，一辈子的“保命钱”就瞬间被骗个精光。随着通讯及网络技术的快速发展，电信诈骗手段也不断升级翻新，案件数量急剧增加。 2009年，全国电信诈骗犯罪案件数为8300多件，造成经济损失2亿多元; 2012年同类案件高达17万起，经济损失达80多亿元。到2014年，全国电信诈骗发案更高达40余万起，群众损失107亿元。2015年以来，部分地区此类犯罪发案率集中，有关工作陷入“防不胜防、打不胜打、越打越多”的尴尬之境。可以看出，对网络诈骗，需要重拳出击。日习近平总书记在中央网络安全和信息化领导小组第一次会议上讲话时指出：网络安全和信息化对一个国家很多领域都是牵一发而动全身的，没有网络安全就没有国家安全，没有信息化就没有现代化。因此，构建新的网络安全秩序已经迫在眉睫。在这样的态势下，仅靠我们普通群众的自我防范是远远不够的，我们还需要从个人信息安全保护、针对电信犯罪等方面尽快健全法律，还需要建立起银行、电信、公安、网络等相关方的协作机。
本文固定链接:
转载请注明:
分享知识，分享快乐，运营路上你我他，携手共谈运营事！
作者：爱运营
在爱运营交流各自运营知识，让我们的运营能力在沟通中得到提升。官方微信账号：iyunyingorg。欢迎关注微信。
您可能还会对这些运营文章感兴趣！18:35:145395
三星I9300 里面360卫士提示有木马病毒如何处理？急
里面可以删了的呀？？？？
我的也是~~~@@！！！！求解啊~~！！
而且说是什么固件，应该是因为没有ROOT
如何操作？如何解决？请教
有！！那是因为没有root！
你回不回帖由你，我反正要回的！
同样的问题~
您需要注册登录后，才能回帖哦！
快速登录：手机有木马病毒杀不了但是恢复出厂设置后再杀就没病毒了_百度知道
手机有木马病毒杀不了但是恢复出厂设置后再杀就没病毒了
手机有木马病毒杀不了但是恢复出厂设置后再杀就没病毒了
查杀完成后清理干净就可以了，点击手机管家首页主界面安全体验，然后对手机进行全方位的病毒查杀，找到病毒查杀功能，打开病毒查杀后选择全面扫描或智能扫描，可以下载腾讯手机管家查杀一下，如果你还是不放心一般恢复出厂设置是可以清除病毒的
其他类似问题
为您推荐：
其他1条回答
为安全，多查杀下，可以获取ROOT后清除打开腾讯手机管家（PC）——应用宝——工具箱——一键ROOT或刷机打开腾讯手机管家（PC）——应用宝——工具箱——刷机
恢复出厂设置的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁网游木马、网银木马、下载类
毁坏、窃取被种者的文件
木马病毒 -
什么是木马（Trojan）木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 & &它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，、、、，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。
木马病毒 -
1、普通的以单独EXE文件执行的木马2、进程插入式木马 3、Rootkit类4、其他木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
木马病毒 -
木马病毒木马查杀（查杀软件很多，有些病毒软件都能杀木马） 防火墙（分硬件和软件）家里面的就用软件好了 如果是公司或其他地方就硬件和软件一起用 基本能防御大部分木马，但是现在的软件都不是万能的，是不？还要学点专业知识，有了这些，你的电脑就安全多了 现在高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），如果你都做到了，木马，病毒。就不容易进入你的电脑了。
木马病毒 -
可以下载卡巴斯基（建议先卸载其他杀毒软件）绿鹰PC万能精灵 卡巴斯基搜索下就可以找到下载，其授权key到这里下载：.cn//download.php?fileid=379586绿鹰PC万能精灵.cn/ishare/download.php?fileid=335597他的sn: Ew7S5NLyptbybbpt 1、禁用系统还原（Windows Me/XP） 如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。 Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。 此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。 注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。 2、将计算机重启到安全模式或者 VGA 模式 关闭计算机，等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式 Windows 95/98/Me/2000/XP 用户：将计算机重启到安全模式。所有 Windows 32-bit 作系统，除了Windows NT，可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。 Windows NT 4 用户：将计算机重启到 VGA 模式。 扫描和删除受感染文件启动防病毒程序，并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染，请单击“删除”。如有必要，清除 Internet Explorer 历史和文件。如果该程序是在
文件夹中的压缩文件内检测到的，请执行以下步骤： 启动 Internet Explorer。单击“工具”&“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中，单击“删除文件”，然后在出现提示后单击“确定”。在“历史”部分，单击“清除历史”，然后在出现提示后单击“是”。 3、关于病毒的危害，Download.Trojan会 执行以下作： 进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。 完成下载后，特洛伊木马程序将执行它们。
木马病毒 -
木马是随计算机或Windows的启动而启动并掌握一定的控制权的，其启动方式可谓多种多样，通过注册表启动、通过System.ini启动、通过某些特定程序启动等，真是防不胜防。其实只要能够遏制住不让它启动，木马就没什么用了，这里就简单说说木马的启动方式，知己知彼百战不殆嘛。 一、通过"开始\程序\启动" 隐蔽性：2星 应用程度：较低 这也是一种很常见的方式，很多正常的程序都用它，大家常用的QQ就是用这种方式实现自启动的，但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”（msconfig.exe，以下简称msconfig）中。事实上，出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意，所以，相信不会有木马用这种启动方式。 二、通过Win.ini文件 隐蔽性：3星 应用程度：较低 同启动组一样，这也是从Windows3.2开始就可以使用的方法，是从Win16遗传到Win32的。在Windows3.2中，Win.ini就相当于Windows9x中的注册表，在该文件中的[Windows]域中的load和run项会在Windows启动时运行，这两个项目也会出现在msconfig中。而且，在Windows98安装完成后这两项就会被Windows的程序使用了，也不很适合木马使用。 三、通过注册表启动 1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run， HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 隐蔽性：3.5星 应用程度：极高 应用案例：BO2000，GOP，NetSpy，IEthief，冰河…… 这是很多Windows程序都采用的方法，也是木马最常用的。使用非常方便，但也容易被人发现，由于其应用太广，所以几乎提到木马，就会让人想到这几个注册表中的主键，通常木马会使用最后一个。使用Windows自带的程序：msconfig或注册表编辑器（regedit.exe，以下简称regedit）都可以将它轻易的删除，所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件，以便实时监视注册表中自身的启动键值是否存在，一旦发现被删除，则立即重新写入，以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止，启动键值就无法删除（手工删除后，木马程序又自动添加上了），相反的，不删除启动键值，下次启动Windows还会启动木马。怎么办呢？其实破解它并不难，即使在没有任何工具软件的情况下也能轻易解除这种互相保护。 破解方法：首先，以安全模式启动Windows，这时，Windows不会加载注册表中的项目，因此木马不会被启动，相互保护的状况也就不攻自破了；然后，你就可以删除注册表中的键值和相应的木马程序了。 2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce， HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 隐蔽性：4星 应用程度：较低 应用案例：月 这种方法好像用的人不是很多，但隐蔽性比上一种方法好，它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似，会在Windows启动时启动，但Windows启动后，该键值下的项目会被清空，因而不易被发现，但是只能启动一次，木马如何能发挥效果呢？ 其实很简单，不是只能启动一次吗？那木马启动成功后再在这里添加一次不就行了吗？在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中，但是在Regedit中却可以直接将它删除，那么木马也就从此失效了。 还有一种方法，不是在启动的时候加而是在退出Windows的时候加，这要求木马程序本身要截获WIndows的消息，当发现关闭时，暂停关闭过程，添加注册表项目，然后才开始关闭Windows，这样用Regedit也找不到它的踪迹了。这种方法也有个缺点，就是一旦Windows异常中止（对于Windows9x这是经常的），木马也就失效了。 破解他们的方法也可以用安全模式。 另外使用这三个键值并不完全一样，通常木马会选择第一个，因为在第二个键值下的项目会在Windows启动完成前运行，并等待程序结束会才继续启动Windows。 四、通过Autoexec.bat文件，或winstart.bat，config.sys文件 隐蔽性：3.5星 应用程度：较低 其实这种方法并不适合木马使用，因为该文件会在Windows启动前运行，这时系统处于DOS环境，只能运行16位应用程序，Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过，这并不是说它不能用于启动木马。可以想象， for Win98（功能强大的程序调试工具，被黑客奉为至宝，常用于破解应用程序）也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口，进行调试的，既然如此，谁能保证木马不会这样启动呢？到目前为止，我还没见过这样启动的木马，我想能写这样木马的人一定是高手中的高手了。 另外，这两个BAT文件常被用于破坏，它们会在这个文件中加入类似" C：\*.*"和"Format C：/u"的行，这样，在你启动计算机后还未启动Windows，你的C盘已然空空如也。 五、通过System.ini文件 隐蔽性：5星 应用程度：一般 事实上，System.ini文件并没有给用户可用的启动，然而通过它却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是"Explorer.exe"，这是Windows的外壳程序，换一个程序就可以彻底改变Windows的面貌（如改为Progman.exe就可以让Win9x变成Windows3.2）。我们可以在"Explorer.exe"后加上木马程序的路径，这样Windows启动后木马也就随之启动，而且即使是安全模式启动也不会跳过这一项，这样木马也就可以保证永远随Windows启动了，名噪一时的病毒就是用的这种方法。这时，如果木马程序也具有自动检测添加Shell项的功能的话，那简直是天衣无缝的绝配，我想除了使用查看进程的工具中止木马，再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足，因为只有Shell这一项嘛，如果有两个木马都使用这种方式实现自启动，那么后来的木马可能会使前一个无法启动，呵呵以毒攻毒啊。 六、通过某特定程序或文件启动 1、寄生于特定程序之中 隐蔽性：5星 应用程度：一般 即木马和正常程序捆绑，有点类似于病毒，程序在运行时，木马程序先获得控制权或另开一个线程以监视用户操作，截取密码等，这类木马编写的难度较大，需要了解PE文件结构和Windows的底层知识（直接使用捆绑程序除外）。 2、将特定的程序改名 性：5星 应用程度：常见 这种方式常见于针对QQ的，例如将QQ的启动文件QQ2000b.exe，改为QQ2000b.ico.exe（Windows默认是不显示扩展名的，因此它会被显示为QQ2000b.ico，而用户会认为它是一个图标），再将木马程序改为QQ2000b.exe，此后，用户运行QQ，实际是运行了QQ木马，再由QQ木马去启动真正的QQ，这种方式实现起来要比上一种简单的多。 3、文件关联 隐蔽性：5星 应用程度：常见 通常木马程序会将自己和TXT文件或EXE文件关联，这样当你打开一个文本或运行一个时，木马也就神不知鬼不觉的启动了。 这类通过特定程序或文件启动的木马，发现比较困难，但查杀并不难。一般地，只要删除相应的文件和注册表键值即可。
为本词条添加和相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
您也可以使用以下网站账号登录：
此词条还可添加&
编辑次数：18次
参与编辑人数：13位
最近更新时间： 14:31:12
贡献光荣榜
扫描二维码用手机浏览词条
保存二维码可印刷到宣传品
扫描二维码用手机浏览词条
保存二维码可印刷到宣传品