Bandook木马介绍

　　今天在病毒诊所值班的是陈涛医生，为了掌握最新的病毒木马信息，陈涛医生常常利用没有病人的时间在网上浏览。这时从门外冲进来一位满头大汗的病人，病人称最近一段时间，常常发现系统鼠标不停地自己移动。
　　自己通过对任务管理器的查看，发现一个远程控制软件VNC的服务端进程，结束这个进程后没有多久的时间，鼠标又开始自动移动，同时该进程又出现了。
小知识：什么是VNC
　　VNC（virtual network computing虚拟网络计算）,是一种远程控制的技术，简单来说，就是将远端的图形桌面，显示到本地终端的一种技术。

　　听完病人的讲述，陈涛医生分析后判断，如果只是单一的远程控制软件VNC进行控制，绝不会出现这种情况，那么极有可能就是中了最近流行的“混血”木马Bandook。
混血木马Bandook
　　Bandook是一款国外的超级木马程序，因为这个木马程序是用C++和Delphi两种程序语言编写的，而在黎巴嫩语中Bandook又是混血儿的意思，因此该木马就被作者命名为Bandook。
　　该木马程序除了编写语言采用了混合方式，在控制方式方面也采用了混合方式，既可以利用木马程序本身进行远程控制操作，又可以利用木马程序上传控制插件，而改由控制软件WINVNC进行控制操作。
VNC只是木马替身
　　陈涛医生首先查看了系统的任务管理器，果然在进程列表中发现了一个名为winvnc.exe的进程（图1）。wwW.ITcompUTeR.coM.Cn然后陈涛医生又打开了系统服务管理器，查看其中是否拥有WINVNC的启动服务，因为WINVNC在NT格式的Windows系统中，都是利用系统服务来启动服务端程序的。结果经过一番认真的检查，并没有发现WINVNC的启动服务，这就说明该服务端程序有其他的启动方式。

IE进程才是木马真身
　　看来想通过WINVNC服务端内容，来获取恶意程序的信息是不可能的了。于是陈涛医生马上改变策略，运行“木马辅助查找器”并选择其中的“进程监控”标签，通过认真的查找果然在进程列表中发现了一个IE浏览器的进程。
　　由于IE浏览器是恶意程序常常利用的进程，所以陈涛医生决定对其进行一番严格的检测。选中进程列表中的IE浏览器进程，接着在下面的模块列表中很快发现多个既没有“公司”说明，也没有“描述”信息的可疑模块文件，但是通过这些模块文件一时又无法判断出这是什么恶意程序（图2）。

　　现在选择“木马辅助查找器”中的“启动项管理”标签，从中一下子发现两个类似可疑的启动项（图3）。说它类似是因为启动键名称和程序路径的信息都是一样的，说它可疑是因为该文件同时利用注册表的多个启动项进行启动，并且从启动名称“Bandook”中我们得到一个重要的信息。

　　Bandook是一款国外的木马程序，木马作者为了减少服务端程序的体积，于是通过很多的功能插件来实现更多的功能，其中包括远程桌面、远程视频、公共插件、密码插件、RAR插件、VNC插件等。
　　图2中我们看到的那些可疑模块，就是Bandook木马安装的功能插件。另外VNC服务端也是木马程序的插件之一，但是VNC插件并不是以DLL文件的形式存在，所以我们在任务管理器中可以看到它的进程。这些插件都没有自己的启动项，因为它们都是随着服务端程序的启动而启动的。
清除混血木马
　　首先断开互联网的连接，在“木马辅助查找器”的“进程监控”标签中，找到VNC服务端进程和IE浏览器的进程，选中它们以后点击窗口的“终止选中进程”按钮结束这些进程；接着选择“启动项管理”标签中的“注册表启动项”选项。在列表中找到和木马相关的两个启动项后，单击“删除选定”按钮即可将木马的启动项删除。
　　进入Windows系统的System32目录中，选中和服务端文件相关的文件和插件后进行删除，这样即可完成服务端的全部清除工作。如果Windows系统提示文件正在使用的话，可以重新启动系统以后再进行文件的删除操作。

 
用VBA实现图像文字随意拖 　　与其他一些演示平台如Authorware、Flash等相比，PowerPoint 2003在交互性方面还稍逊风骚，如作诸如图案创意、足球战术、围棋复盘等演示时，经常需要对幻灯片中的图片或文字即时即兴地调整位置以增加演示的生动性，而PPT却无法直接实现，这个时候就需要借助强大的VBA代码了。
让PPT接受宏
　　PPT内置了VBA编辑器，利用它可以扩展PPT的功能。由于VBA代码特别是用VBA编制的宏病毒代码会对PPT的安全性构成威胁，因此在高安全等级下PPT将拒绝执行VBA。
　　在确保VBA代码来源合法和运行无害的前提下，需要降低PPT的安全等级以使VBA代码得以执行。选择"工具→宏→安全性"菜单，将安全级别设为"低"，同时将"可靠发行商"页下的"信任对于Visual Basic项目的访问"项勾选。
创建PPT
　　1．在PPT中新建空幻灯片。
　　2．选择"视图→工具栏→控件工具箱"菜单，打开控件工具箱。
　　3．点击控件工具栏的"标签"控件，在空幻灯片中拖出标签对象Label1。然后点击控件工具栏的"属性"按钮，打开属性栏，设置Label1的Caption、Font、ForeColor、BackStyle等属性。
　　4．点击"图像"控件，在幻灯片中添加图像对象Image1。在Image1的属性栏中，设置它的AutoSize、Picture属性，加入图片文件并让图像对象适应图片的大小。
添加代码
　　双击Label，或选择"工具→宏→Visual basic编辑器"菜单，打开VBA，选择Label1对象，再选择对应的MouseDown、MouseMove和MouseUp事件，加入以下代码：
　　Dim X1, X2, X3, X4, X5, X6 As Integer, Y1, Y2, Y3, Y4, Y5, Y6 As Integer, Down As Boolean '设置全局变量，X1、Y1等为Label1等对象的初始坐标值
　　Private Sub Label1_MouseDown(ByVal Button As Integer, ByVal Shift As Integer, ByVal X As Single, ByVal Y As Single)
　　If Not Down Then
　　X1=X
　　Y1=Y
　　Down=True
　　End If
　　End Sub
　　Private Sub Label1_MouseMove(ByVal Button As Integer, ByVal Shift As Integer, ByVal X As Single, ByVal Y As Single)
　　'如果鼠标已按下，设置Label1新的坐标值
　　If Down Then
　　Label1.Left=Label1.Left+X-X1
　　Label1.Top=Label1.Top+Y-Y1
　　X1=X
　　Y1=Y
　　End If
　　End Sub
　　Private Sub Label1_MouseUp(ByVal Button As Integer, ByVal Shift As Integer, ByVal X As Single, ByVal Y As Single)
　　Down=False
　　SlideShowWindows(1).View.First'刷新屏幕，使用PowerPoint XP/2003时加入此句
　　End Sub
　　为Image1加入以下VBA代码：
　　Private Sub Image1_MouseDown(ByVal Button As Integer, ByVal Shift As Integer, ByVal X As Single, ByVal Y As Single)
　　If Not Down Then
　　X4=X
　　Y4=Y
　　Down = True
　　End If
　　End Sub
　　Private Sub Image1_MouseMove(ByVal Button As Integer, ByVal Shift As Integer, ByVal X As Single, ByVal Y As Single)
　　'如果鼠标已按下，设置Label1新的坐标值。
　　If Down Then
　　Image1.Left=Image1.Left+X-X4
　　Image1.Top=Image1.Top+Y-Y4
　　X4=X
　　Y4=Y
　　End If
　　End Sub
　　Private Sub Image1_MouseUp(ByVal Button As Integer, ByVal Shift As Integer, ByVal X As Single, ByVal Y As Single)
　　Down=False
　　SlideShowWindows(1).View.First'刷新屏幕，使用PowerPoint XP/2003时加入此句
　　End Sub
　　这两段VBA代码并不复杂，稍有VB基础的读者一看便懂，这里就不详加解说了。需要指出的是，以上代码也可在PowerPoint 97/2000中正常执行。
调试执行
　　Label1和Image1的VBA代码都输入完成并调试无误后，按F5放映幻灯片。怎么样，幻灯片中的图像和文字是不是可以随心所欲地拖动了？
　　这个示例比较简单，但其原理可作为实现更复杂操控效果的基础。一个熟悉PowerPoint VBA的人，基于此示例设计出类似于空当接龙那样的扑克游戏亦并非难事。不信，你也动手试试？看看PPT到底还有多少功能尚未挖掘出来。
　　  
Foobar2000也能显歌词 　　相信大家经常使用Foobar2000来播放音乐吧，虽然它界面简陋，但占用内存空间少，播放音质佳。一句话，寒酸的外表下跳动着一颗功能强劲的心。Winamp在播放MP3时可使用迷你歌词。其实，Foobar2000也能实现同步歌词的播放。(本文为WWW.SQ120.COM电脑知识网推荐文章)
　　首先，下载一个名为Foo_lyricshow Fb2000 的歌词显示插件（下载地址：http://www.mydown.com/softdown/189/189376.html）。下载完以后将插件复制到Foobar2000的安装目录下即可。现在要做的就是设置插件属性
　　1.启动Foobar2000。单击“外部组件”，如看到最下面的歌词插件，说明该插件已经可以使用。
　　2.依次单击“Foobar2000→参数设置”，在参数面板中选择“components→lyricshow（chversion）”，打开歌词插件的属性设置面板。并把“按歌词tag顺序搜索”、“多行模式时，显示不带时间戳的歌词行”、“多行”三项勾选中。
添加静态歌词
　　1.依次单击“播放列表→添加文件”，把需要添加歌词的MP3添加到播放列表中。
　　2.在播放列表中指向该歌曲名右击，在快捷菜单中选择“显示文件信息”，弹出文件属性对话框。在“其他字段”栏单击“添加”按钮，弹出“文件信息/详情”对话框，在“字段名”栏中输入“lyric”，在下面“字段值”中将歌曲的歌词复制进去。
　　4.如果要动态显示歌词，可以在每句的前面用方括号加上时间标签来表示，如[00:00:01]。
在文件夹中自动搜索歌词
　　以前用过迷你歌词的朋友们也许机器上还有大量的歌词文件（.lrc），那该怎么在Foobar2000中调用这些歌呢？可以先参照上面的方法打开歌词插件的属性面板，然后进行如下设置。
　　1.在“歌词来源”选项中把“启用外部歌词文件”选中。
　　2.在“字符串搜索”选项中，输入要存放歌词的文件夹路径，注意把后面的“模糊匹配”和“含子目录”勾选中。
　　小提示：启用了模糊匹配以后，如果歌词文件名称和歌曲名称稍有出入的话，Foobar2000也能够识别出来。  
From:http://www.itcomputer.com.cn/Article/Network/201309/439.html