試試這個:
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=TROJ_PWSTEAL.CT

轉載...
-------------------
查看本機開放埠――讓木馬現原形
http://qingxin.mine.nu/qxnew/news/07541004/200421360623.htm

--------------------------------------------------------------------------------
2004年2月13日6:6
當前最爲常見的木馬通常是基於TCP/UDP協定進行client端與server端之間的通訊的，既然利用到這兩個協定，就不可避免要在server端（就是被種了木馬的機器了）打開監聽埠來等待連接。例如鼎鼎大名的冰河使用的監聽埠是7626，Back Orifice 2000則是使用54320等等。那麽，我們可以利用查看本機開放埠的方法來檢查自己是否被種了木馬或其他黑客程式。以下是詳細方法介紹。
　　1． Windows本身自帶的netstat命令
　　關於netstat命令，我們先來看看windows幫助文件中的介紹：
　　Netstat
　　顯示協定統計和當前的 TCP/IP 網路連接。該命令只有在安裝了 TCP/IP 協定後才可以使用。
　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
　　參數
　　-a
　　顯示所有連接和偵聽埠。伺服器連接通常不顯示。
　　-e
　　顯示乙太網統計。該參數可以與 -s 選項結合使用。
　　-n
　　以數位格式顯示地址和埠號（而不是嘗試查找名稱）。
　　-s
　　顯示每個協定的統計。默認情況下，顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定默認的子集。
　　-p protocol
　　顯示由 protocol 指定的協定的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個協定的統計，protocol 可以是 tcp、udp、icmp 或 ip。
　　-r
　　顯示路由表的內容。
　　interval
　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次當前的配置資訊。
　　好了，看完這些幫助文件，我們應該明白netstat命令的使用方法了。現在就讓我們現學現用，用這個命令看一下自己的機器開放的埠。進入到命令行下，使用netstat命令的a和n兩個參數：
　　C:\>netstat -an
　　Active Connections
　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 0.0.0.0:0
　　UDP 0.0.0.0:1046 0.0.0.0:0
　　UDP 0.0.0.0:1047 0.0.0.0:0
　　解釋一下，Active Connections是指當前本機活動連接，Proto是指連接使用的協定名稱，Local Address是本地電腦的 IP 地址和連接正在使用的埠號，Foreign Address是連接該埠的遠端電腦的 IP 地址和埠號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽埠是UDP協定的，所以沒有State表示的狀態。看！我的機器的7626埠已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙斷開網路，用殺毒軟體查殺病毒是正確的做法。
　　2．工作在windows2000下的命令行工具fport
　　使用windows2000的朋友要比使用windows9X的幸運一些，因爲可以使用fport這個程式來顯示本機開放埠與進程的對應關係。
　　Fport是FoundStone出品的一個用來列出系統中所有打開的TCP/IP和UDP埠，以及它們對應應用程式的完整路徑、PID標識、進程名稱等資訊的軟體。在命令行下使用，

謝謝 ShadowLand 詳細解說, 最近馬比較多, 大家要多注意.

好像都是 ftpupd.exe 在作怪, 可是永遠殺不完

要寫電腦病毒並非什麼難事
但是要防護別人寫的病毒就是門學問
首先"病毒"通常是靠Email傳播,而"木馬程式"是靠Port的寫入
防病毒除了裝防毒軟體外別無它法,而防"木馬程式"就得用防火牆

http://www.agnitum.com/ 請到此下載 OutPort 免費版(我個人推薦此版)

記住無論是裝系統,裝防毒軟體及裝防火牆都要"離線"安裝才會安全
至於Windows Server Pack Update 最好是先 download 下來再去更新

轉載
----------------
在此不是教入侵 是給不知者了解 如何自己測試才能防堵


此文已有一段時間了 所以應無再被駭的安全顧慮


http://www.rvibo.y365.com/rj/hac[62].HTM

《對 RPC DCOM worm 的設想》
序將病毒代碼列印成反彙編後的程式清單進行分析，看病毒分成哪些模組，使用了哪些系統調用，採用了
哪些技巧，如何將病毒感染文件的過程翻轉爲清除病毒、修復文件的過程，哪些代碼可被用做特徵碼以及
如何防禦這種病毒等等。分析人員的素質越高，分析過程就越快，理解也就越深;動態分析則是指利用Debug
等程式調試工具在記憶體帶毒的情況下，對病毒作動態跟蹤，觀察病毒的具體工作過程，以進一步在靜態
分析的基礎上理解病毒工作的原理。在病毒編碼比較簡單的情況下，動態分析不是必須的。但是，當病毒
採用了較多的技術手段時，就必須使用動、靜相結合的分析方法才能完成整個分析過程。　　

綜上所述，利用原始備份和被檢測程式相比較的方法適合於不用專用軟體，可以發現異常情況的場合，
是一種簡單、基本的病毒檢測方法;掃描特徵串和識別特性字的方法更適用于廣大PC機用戶使用，方便而
又迅速;但對新出現的病毒會出現漏檢的情況，須要與分析和比較法結合使用。


通過採取技術上和管理上的措施，電腦病毒是完全可以防範的。
發佈者: 艱苦
來源: BLUEDON
《對 RPC DCOM worm 的設想》
by tiger:
2003.8


名稱: 對 RPC DCOM 蠕蟲的設想作者: lion 主頁: http://www.cnhonker.com 日期: 2003/08/08 最近好象幾乎每
一個大的漏洞公佈出來，接著都會有一個針對這個漏洞的蠕蟲(worm) 流行，最近鬧得很凶的 RPC DCOM 漏洞估計也即將成爲 worm 的新傳播載體。
好象寫 worm 是一個熱門，很多人也覺得好奇，覺得 worm 是很深的一種技術，其實這個是很簡單的編程
遊戲而已。
我一直有個想法就是想寫一篇關於 worm 的技術分析(---爲了不教壞小孩子:)，只是一直懶得提筆，本人對
蠕蟲的編寫已經失去了興趣，現在在新的 worm 風暴即將到來之前，我這裏很簡單分析一下蠕蟲的相關技
術，並對 RPC DCOM 蠕蟲進行一些設想。
大家當我是助“紂”爲虐也好，故意賣弄也好，我覺得還是要寫這篇文章，一年多沒寫過文章了，同時也
了卻了自己的一個心願。
你現在可以選擇不繼續往下看，但看完後不要對我吐口水。:) 一 什麽叫蠕蟲 首先從 spark 的 《Internet蠕蟲的定義和歷史》
文章中摘抄一段關於worm的解釋: 蠕蟲這個生物學名詞在1982年由Xerox PARC 的John F. Shoch等人最早
引入電腦領域[30]，並給出了電腦蠕蟲的兩個最基本特徵："可以從一台電腦移動到另一台電腦"和"可以自我
複製"。他們編寫蠕蟲的目的是做分散式計算的模型試驗，在他們的文章中，蠕蟲的破壞性和不易控制已經
初露端倪。1988年Morris蠕蟲爆發後，Eugene H. Spafford 爲了區分蠕蟲和病毒，給出了蠕蟲的技術角度的
定義，"電腦蠕蟲可以獨立運行，並能把自身的一個包含所有功能的版本傳播到另外的電腦上。"
（worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ）。
由於這裏不是向大家介紹蠕蟲的定義和歷史就不多說了，大家如果對這些感興趣，可以到這裏讀 spark 的
文章。http://www.nsfocus.net/index.php?act=magazine&do=view&mid=1851
二 蠕蟲的組成部分 一個蠕蟲的組成其實很簡單，由於我不是在這裏教你們寫蠕蟲，也由於時間限制，我
這裏只簡單的說一些。 我們可以把它看做一個工程，我們把這個工程分成 4 個模組: 1. 攻擊模組 首先得
需要有一個大量系統受影響的能被簡單利用的嚴重漏洞，以便能夠遠端控制機器。比如猜測薄弱口令啊，
遠端溢出啊等。
2. 感染模組 考慮怎麽讓對方被攻擊後，執行你想要實現的功能，完成對一個主機的感染。對遠端溢出來
說也就是完善shellcode了。
這中間得考慮一個感染傳播(繁殖)途徑的問題。
3. 傳播模組 比如，掃描一個網段有相關弱點的機器，存成一個文件，然後對這些IP進行攻擊，或者隨機
生成IP然後對這些IP進行攻擊等。
簡單的說就是掃描薄弱的機器。
4. 功能模組　 功能模組其實是一個可要可不要的模組，但如果你想對方感染蠕蟲後還在對方加上後門
/DDoS等其他功能時，就必須得要有這個啦。 　　
其實，一個蠕蟲成功的關鍵是一個攻擊模組和感染模組。:)
三 常見的蠕蟲的傳播(繁殖)途經 具體就不深入了, 只簡單列舉一下: 1. email 2. ftp 3. http 4. netbios 5. tftp
　 6. rcp 7. 其他 四 RPC DCOM 漏洞介紹 RPC DCOM 漏洞是最近出的一個Windows系統的嚴重漏洞，也
是有史以來最嚴重影響最廣泛的Windows漏洞。
Remote Procedure Call (RPC)是運用於Windows作業系統上的一種協定。
RPC提供相互處理通信機制，允許運行該程式的電腦在一個遠端系統上執行代碼。RPC協定本身源於OSF
(Open Software Foundation) RPC協定，後來又另外增加了一些Microsoft專用擴展功能。
RPC中處理TCP/IP資訊交換的模組由於錯誤的處理畸形資訊，遠端攻擊者可利用此缺陷以本地系統許可權
在系統上執行任意指令。
該缺陷影響使用RPC的DCOM介面，此介面處理由用戶端機器發送給伺服器的DCOM物件啟動請求(如UNC路徑)。
攻擊者成功利用此缺陷可以以本地系統許可權執行任意指令。
攻擊者可以在系統上執行任意操作，如安裝程式、查看或更改、刪除資料或建立系統管理員許可權的帳戶。

a. 通過添加一個管理員用戶，可以很容易的用Netbios共用來遠端共用傳播文件。但有對防火牆過濾了
Netbios
或者主機上不存在共用的情況下，不大好利用，而且，RPC DCOM 的攻擊代碼溢出後獲得的是system許可
權，想直接通過shellcode或者下載的程式來遠端用Netbios拷貝文件比較困難，需要有一個system to user的
許可權轉換模組，所以爲了更高效的利用這個漏洞，達到傳播快和速度大的 RPC DCOM 蠕蟲不大可能利
用這種技術。
b. 直接把命令寫進shellcode裏的話，簡單快捷。
甚至可以把所有需要用到的功能全寫進shellcode裏去，如年初掃蕩全球的sql worm,　把攻擊，感染，傳播
三個模組寫到短短的200多個16進制代碼裏實現。同樣可以在裏面加上下載程式並執行等功能。
c. 簡單的開一個bind port shell, 你可以執行系統命令，比如echo寫入一個腳本下載FTP站點裏的程式並執
行，甚至直接用TFTP下載程式等。
這種方法執行命令，很簡單，但每次攻擊需要有兩個連接，對系統開銷比較大，而且可能受防火牆的影響也比較大，不宜採取。　
d. 反連的shellcode跟bind port shell差不多，不過這個可以把反連的這個監聽埠做成一個server形式，以便
於接受多個連接，然後自動對每一個連接發送一些指令，使機器能完成傳播。這個其實也是不錯的，能突
破不少防火牆，唯一的就是對禁止任何反連的防火牆沒什麽好辦法。
e. 還記得hsj的ida溢出的exploit吧，該exploit監聽一個埠，對目標溢出攻擊成功後，目標系統反連攻擊機
的這個埠接受一個指定的文件並保存在本機硬碟上，然後執行，這其實跟反連shellcode差不多，只是一個
是反連一個shell，另一個是反連回來取文件。
這應該是蠕蟲作者考慮中的傳播途徑。
f. 把程式放在某一個功能變數名稱或者IP的FTP/HTTP站點裏，所有感染的機器從這裏取程式，下載到本
地後執行。這種方法的好處是實現簡單，而且可以很好的繞過防火牆，因爲大多數的網路還是允許往外訪
問21/80埠的，而且可以很好的控制worm的版本和傳播，把文件刪掉就不會感染其他機器了，一般用於小
規模感染。因爲大規模感染的情況下，第一個倒下的是你的FTP/HTTP伺服器。:)
g. Redcode/nimda的tftp下載程式方法，可以用在防火牆沒有遮罩udp的網路情況下，缺點是tftp傳送文件
太慢。居於Redcode/nimda的成功先例，這應該是蠕蟲作者考慮中的傳播途徑。
h. 你自己自由發揮想象力．．． 3. 如果RPC DCOM蠕蟲，採用結合以上各種方法的優勢，就可以完善一
個能突破大多數防火牆的繁殖方式來，以使蠕蟲能更好更快的得到傳播，通過結合利用Redcode和nimda
的相關技術，利用Redcode和nimda相同的tftp傳播方法，嘗試從攻擊IP裏tftp裏下載一個程式，如果下載
成功的話就執行，如果不成功，可以反連至該攻擊IP的某一個埠接受文件，如果再不成功，可以開一個埠
接收文件，再不成功，可以從FTP/HTTP站點下載文件．．．不過也得考慮你的shellcode的長度哦，呵呵。
更多的，你自己自由發揮想象力．．．
4. 加大蠕蟲傳播的途徑，還可以考慮nimda的email, html, netbios共用等方法來進行繁殖和傳播，做到這一
點就可以把RPC DCOM做成一個繼nimda後的第二個超級蠕蟲。
5. 甚至可以結合病毒技術，感染exe文件，加大傳播途徑，做到這一點，RPC DCOM worm肯定是一個超過
nimda的超級蠕蟲。
6. 功能模組中，還可以加上木馬功能或者DDoS功能，比如所有感染的機器同時向whitehouse，microsoft
或者其他網站網站進行DDoS攻擊，以完成更大的殺傷力。
7. 如果利用 UDP/135 傳播的話, RPC DCOM worm 傳播的速度和破壞力肯定跟SQL wrom 一樣完美。
十 RPC DCOM 蠕蟲爆發前的防治工作 1. 爲自己的主機打上微軟發佈的相關修補補丁。下面爲補丁的相關
下載地址 ：
Windows NT 4.0 Server： http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition ： http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000： http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en 2.
向用戶宣傳此漏洞的嚴重性和被蠕蟲利用的危害性，促使用戶修補該漏洞。
3. 在自己的路由器上封掉 TCP/135，UDP/135，甚至 TCP/139，UDP/139，TCP/445，UDP/445等RPC DCOM
能利用的相關埠， 以阻斷蠕蟲的攻擊和傳播。 *** 花了兩小時來寫這篇文章, 此文僅用於表達我對 RPC
DCOM 蠕蟲的設想! :) ***
來源：lion個人主頁


發表人 - conundrum 於 2004/09/18 17:08:55

小弟近來深受木馬所苦
電腦一連線就有不正常的資料傳輸
嚴重佔用資源造成當機.....
今發現elitekuo兄提供的兩支防毒軟體
下載掃描除毒後
現已好多了
不過心裡還是怕怕的
因為過去也曾修好後舊病復發
希望這次真正根絕禍害
無論如何還是很感謝elitekuo兄提供的資訊!!

試試AD-AWARE, personal版free
http://www.lavasoftusa.com/software/adaware/

以及 Spybot search & destroy
http://www.spybot.info/en/spybotsd/index.html

先用ad-aware, 再用spybot