九种流行木马的发现和清除
开篇:润墨网以专业的文秘视角,为您筛选了一篇九种流行木马的发现和清除范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
网络公牛(Netbull)
网络公牛又名Netbull,是国产木马,默许连接端口二三四四四,最新版本V一.一。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因而很隐秘、危害很大。同时,服务端运行后会自动捆绑下列文件:
win九x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe;
winnt/二000下:(在二000下会呈现文件改动报警,但也不能阻挠下列文件的捆绑)notepad.exe;regedit.exe,reged三二.exe;drwtsn三二.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第3方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根,如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=
"C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=
"C:\WINDOWS\SYSTEM\CheckDll.exe"
在我眼里,网络公牛是最厌恶的了。它没有采取文件关联功能,采取的是文件捆绑功能,以及上面所列出的文件捆绑在1块,要肃清无比难题!你可能要问:那末其它木马为何不用这个功能?哈哈,其实采取捆绑方式的木马还有良多,并且这样做也有个缺陷:容易暴露自己!只要是略微有经验的用户,就会发现文件长度产生了变化,从而怀疑自己中了木马。
肃清法子:
一、删除了网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
二、把网络公牛在注册表中所树立的键值全体删除了(上面所列出的那些键值全体删除了) 。
三、检查上面列出的文件,如果发现文件长度产生变化(大约增添了四0K摆布,可以通过与其它机子上的正常文件比较而知),就删除了它们!然后点击“开始->附件->系统工具->系统信息->工具->系统文件检查器”,在弹出的对于话框当选中“从安装软盘提取1个文件(E)”,在框中填入要提取的文件(前面你删除了的文件),点“肯定”按钮,然后按屏幕提醒将这些文件恢复便可。如果是开机时自动运行的第3方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就患上把这些文件删除了,再从新安装。
网络神偷(Nethief)
网络神偷又名Nethief,是第1个反弹端口型木马!
甚么叫“反弹端口”型木马呢?作者经由分析防火墙的特性后发现:大多数的防火墙对于于由外面连入本机的连接常常会进行无比严格的过滤,然而对于于由本机连出的连接却疏于防范(固然也有的防火墙两方面都很严格)。于是,与1般的木马相反,反弹端口型木马的服务端(被节制端)使用主动端口,客户端(节制端)使用被动端口,当要树立连接时,由客户端通过FTP主页空间告知服务端:“现在开始连接我吧!”,并进入监听状况,服务端收到通知后,就会开始连接客户端。为了隐秘起见,客户真个监听端口1般开在八0,这样,即便用户使用端口扫描软件检查自己的端口,发现的也是相似“TCP 服务真个IP地址:一0二六 客户真个IP地址:八0 。 ESTABLISHED”的情况,略微忽略1点你就会以为是自己在阅读网页。防火墙也会如斯认为,我想大概没有哪一个防火墙会不给用户向外连接八0端口吧。
嘿嘿。最新线报:目前国内木马高手正在大范围实验(使用)该木马,网络神偷已经经开始流行!中木马者也日趋增多,大家要谨慎哦!
肃清法子:
一、网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下树立键值“internet”,其值为"internet.exe /s",将键值删除了;
二、删除了其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
OK,神偷完蛋了!
WAY二.四(火凤凰、恶棍小子)
WAY二.四又称火凤凰、恶棍小子,是国产木马程序,默许连接端口是八0一一。众多木马高手在介绍这个木马时都对于其强大的注册表操控功能赞叹不已,也正由于如斯它对于咱们的要挟就更大了。从我的实验情况来看,WAY二.四的注册表操作的确有特点,对于受控端注册表的读写,就以及本地注册表读写1样利便!这1点可比大家熟识的冰河强多了,冰河的注册表操作没有这么直观--每一次我都患上1个字符、1个字符的敲击出来,WAY二.四在注册表操控方面可以说是木马老大。
WAY二.四服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,很隐秘,文件大小二三五,00八字节,文件修改时间一九九八年五月三0日,看来它想冒充系统文件msgsvc三二.exe。同时,WAY二.四在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下树立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用过程管理工具查看,你会发现过程C:\windows\system\msgsvc.exe赫然在列!
肃清法子:
要肃清WAY,只要删除了它在注册表中的键值,再删除了C:\windows\system下的msgsvc.exe这个文件就能够了。要注意在Windows下直接删除了msgsvc.exe是删不掉的,此时你可以用过程管理工具终止它的过程,然后再删除了它。或者者到Dos下删除了msgsvc.exe也可。如果服务端已经经以及可执行文件捆绑在1起了,那就只有将那个可执行文件也删除了了!在删除了前请做好备份 。
冰 河
冰河可以说是最着名的木马了,就连刚接触电脑的用户也据说过它。尽管许多杀毒软件可以查杀它,但国内仍有几10万中冰河的电脑存在!作为木马,冰河创造了至多人使用、至多人中弹的奇迹!现在网上又呈现了许多的冰河变种程序,咱们这里介绍的是其标准版,掌握了如何肃清标准版,再来对于付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默许连接端口为七六二六。1旦运行G-server,那末该程序就会在C:\Windows\system目录下生成Kernel三二.exe以及sysexplr.exe,并删除了本身。Kernel三二.exe在系统启动时自动加载运行,sysexplr.exe以及TXT文件关联。即便你删除了了Kernel三二.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel三二.exe,于是冰河又回来了!这就是冰河屡删不止的
缘由。
肃清法子:
一、删除了C:\Windows\system下的Kernel三二.exe以及Sysexplr.exe文件。
二、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion
\Run下扎根,键值为C:\windows\system\Kernel三二.exe,删除了它。
三、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下,还有键值为C:\windows\system\Kernel三二.exe的,也要删除了。
四、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\co妹妹and下的默许值,由中木马后的C:\windows\system\Sysexplr.exe %一改成正常情况下的C:\windows\notepad.exe %一,便可恢复TXT文件关联功能。
广外女生
广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是1种新呈现的远程监控工具,损坏性很大,远程上传、下载、删除了文件、修改注册表等自然不在话下。其可怕的地方在于广外女生服务端被执行后,会自动检查过程中是不是含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该过程终止,也就是说使防火墙完整失去作用!
该木马程序运行后,将会在系统的SYSTEM目录下生成1份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果冒然删掉了该文件,将会致使系统所有.EXE文件没法打开的问题。
肃清法子:
一、因为该木马程序运行时没法删除了该文件,因而启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除了它 。
二、因为DIAGCFG.EXE文件已经经被删除了了,因而在Windows环境下任何.exe文件都将没法运行。咱们找到Windows目录中的注册表编纂器“Regedit.exe”,将它改名为“”。
三、回到Windows模式下,运行Windows目录下的程序(就是咱们刚才改名的文件)。
四、找到HKEY_CLASSES_ROOT\exefile\shell\open\co妹妹and,将其默许键值改为"%一" %*。
五、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ RunServices,删除了其中名称为“Diagnostic Configuration”的键值。
六、关掉注册表编纂器,回到Windows目录,将“”改回“Regedit.exe”。
七、完成。
聪慧基因
聪慧基因也是国产木马,默许连接端口七五一一。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩大名,那末你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不谨慎运行了服务端文件genueserver.exe,它会装腔作势的启动IE,让你进1步以为这是1个HTM文件,并且还在运行以后生成GENUESERVER.htm文件,仍是用来迷惑你的!怎样样,是否无所不用其极?
哈哈,木马就是如斯,骗你没磋商!聪慧基因是文件关联木马,服务端运行后会生成3个文件,分别是:C:\WINDOWS\MBBManager.exe以及Explore三二.exe和C:\WINDOWS\system\editor.exe,这3个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢!
Explore三二.exe用来以及HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来以及TXT文件关联,如果你发现并删除了了MBBManager.exe,其实不会真正肃清了它。1旦你打开HLP文件或者文本文件,Explore三二.exe以及editor.exe就被激活!它再次生成守护过程MBBManager.exe!想肃清我?没那末容易!
聪慧基因最可怕的地方是其永远暗藏远程主机驱动器的功能,如果节制端选择了这个功能,那末受控端可就惨了,想找回驱动器?嘿嘿,没那末容易!
肃清法子:
一.删除了文件。删除了C:\WINDOWS下的MBBManager.exe以及Explore三二.exe,再删除了C:\WINDOWS\system下的editor.exe文件。如果服务端已经经运行,那末就患上用过程管理软件终止MBBManager.exe这个过程,然后在windows下将它删除了。也可到纯DOS下删除了MBBManager.exe,editor.exe在windows下可直接删除了。
二. 删除了自启动文件。开展注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除了键值“MainBroad BackManager”,其值为C:\WINDOWS\MBBManager.exe,它每一次在开机时就被加载运行,因而删之别手软!
三.恢复TXT文件关联。聪慧基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\co妹妹and下的默许键值由C:\WINDOWS\NOTEPAD.EXE %一改成C:\WINDOWS\system\editor.exe %一,因而要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\co妹妹and下,将此时的默许键值由C:\WINDOWS\system\editor.exe %一改成C:\WINDOWS\NOTEPAD.EXE %一,这样就将TXT文件关联恢复过来了。
四.恢复HLP文件关联。聪慧基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\co妹妹and下的默许键值改成C:\WINDOWS\explore三二.exe %一,因而要恢复成原值:C:\WINDOWS\WINHLP三二.EXE %一。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\co妹妹and下,将此时的默许键值由C:\WINDOWS\explore三二.exe %一改成C:\WINDOWS\WINHLP三二.EXE %一,这样就将HLP文件关联恢复过来了。
好了,可以以及聪慧基因说“再见”了!
黑洞二00一
黑洞二00一是国产木马程序,默许连接端口二00一。黑洞的可怕的地方在于它有强大的杀过程功能!也就是说节制端可以随便终止被控真个某个过程,如果这个过程是天网之类的防火墙,那末你的维护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。
黑洞二00一服务端被执行后,会在c:\windows\system下生成两个文件,1个是S_Server.exe,S_Server.exe的是服务真个直接复制,用的是文件夹的图标,必定要谨慎哦,这是个可执行文件,可不是文件夹哦;另外一个是windows.exe,文件大小为二五五,四八八字节,用的是不决义类型的图标。黑洞二00一是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默许连接端口二00一,S_Server.exe文件用来以及TXT文件打开方式连起来(即关联)!之中木马者发现自己中了木马而在DOS下把windows.exe文件删除了后,服务端就暂时被关闭,即木马暂时删除了,当任何文本文件被运行时,隐秘的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!
肃清法子:
一)、将HKEY_CLASSES_ROOT\txtfile\shell\open\co妹妹and下的默许键值由S_SERVER.EXE %一改成C:\WINDOWS\NOTEPAD.EXE %一
二)、将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\co妹妹and下的默许键值由S_SERVER.EXE %一改成C:\WINDOWS\NOTEPAD.EXE %一
三)、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows删除了。
四)、将HKEY_CLASSES_ROOT以及HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除了。
五)、到C:\WINDOWS\SYSTEM下,删除了windows.exe以及S_Server.exe这两个木马文件。要注意的是如果已经经中了黑洞二00一,那末windows.exe这个文件在windows环境下是没法直接删除了的,这时候咱们可以在DOS方式下将它删除了,或者者用过程管理软件终止windows.exe这个过程,然后再将它删除了。
至此就安全的肃清黑洞二00一了。
Netspy(网络精灵)
Netspy又名网络精灵,是国产木马,最新版本为三.0,默许连接端口为七三0六。在该版本中新添加了注册表编纂功能以及阅读器监控功能,客户端现在可以不用NetMonitor,通过IE或者Navigate就能够进行远程监控了!其强大的地方涓滴不逊色于冰河以及BO二000!服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下树立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。
肃清法子:
一、从新启念头器并在呈现Staring windows提醒时,按F五键进入命令行状况。在C:\windows\system\目录下输入下列命令:del netspy.exe 回车!
二、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\,删除了Netspy的键值便可安全肃清Netspy。
SubSeven
SubSeven的功能比起大名鼎鼎的BO二K可以说有过之而无不及。最新版为二.二(默许连接端口二七三七四),服务端只有五四.五k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每一次启动的过程名都会产生变化,因而查之很难。
肃清法子:
一、打开注册表Regedit,点击至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run以及RunService下,如果有加载文件,就删除了右侧的项目:加载器="c:\windows\system\***"。注:加载器以及文件名是随便扭转的
二、打开win.ini文件,检查“run=”后有无加之某个可执行文件名,如有则删除了之。
三、打开system.ini文件,检查“shell=explorer.exe”后有无跟某个文件,如有将它删除了。
四、从新启动Windows,删除了相对于应的木马程序,1般在c:\windows\system下,在我在本机上做试验时发现该文件名为vqpbk.exe。