基本概念
木马:其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机
提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个
默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Con
nect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我
们称为守护进程。
就我们下面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户
机,被控制端为控制端提供服务。
控制端:对服务端进行远程控制的一方
服务端:被控制端远程控制的一方
控制端程序:控制端用以远程控制服务端的程序
木马程序:潜入服务端内部,获取其操作权限的程序
木马端口:即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端
程序或木马程序
十大常见木马及其查杀方法
冰河
冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒
软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人
使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是
其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口
为7626。一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成Kernel3
2.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysex
plr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexpl
r.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不
止的原因。
清除方法:
1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windowsCurrentVer
sion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windowsCurrentVersion
\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,
由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\note
pad.exe %1,即可恢复TXT文件关联功能。
广外女生
广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远
程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。
其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、
“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”
、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!
该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAG
CFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EX
E文件无法打开的问题。
清除方法:
1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System
目录下的DIAGFG.EXE,删除它;
2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无
法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Rege
dit.com”;
3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改
名的文件);
4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1
" %*;
5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\ RunS
ervices,删除其中名称为“Diagnostic Configuration”的键值;
6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe
”。
7、完成。
Netspy(网络精灵)
Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版
本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通
过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务
端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表H
KEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:
\windows\system\netspy.exe,用于在系统启动时自动加载运行。
清除方法:
1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:
\windows\system\目录下输入以下命令:del netspy.exe 回车!
2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersio
n\Run\,删除Netspy的键值即可安全清除Netspy。
SubSeven
SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连
接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山
毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubS
even服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。
清除方法:
1、打开注册表Regedit,点击至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunSer
vice下,如果有加载文件,就删除右边的项目:加载器="c:\windows\system\***"。注:加载器和文件名是随意改变的
2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除
之。
3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将
它删除。
4、重新启动Windows,删除相对应的木马程序,一般在c:\windows\system下,在我
在本机上做实验时发现该文件名为vqpbk.exe.
黑洞2001
黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀
进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类
的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横
。
黑洞2001服务端被执行后,会在c:\windows\system下生成两个文件,一个是S_Ser
ver.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,
这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节
,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机
器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方
式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后
,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server
.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!
清除方法:
1)、将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER
.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
2)、将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的
默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
3)、将HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunSer
vices\下的串值windows删除。
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键
删除。
5、到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要
注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直
接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe
这个进程,然后再将它删除。
至此就安全的清除黑洞2001了。
WAY2.4(火凤凰、无赖小子)
WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马
高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们
的威胁就更大了。从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注
册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河
的注册表操作没有这么直观——每次我都得一个字符、一个字符的敲击出来,WAY2.4在
注册表操控方面可以说是木马老大。
WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件
的图标,很隐蔽,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充
系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Micros
oft\Windows\CurrentVersion\Run下建立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\m
sgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\system\msgsvc.
exe赫然在列!
清除方法:
要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc
.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可
以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如
果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了!
在删除前请做好备份。
初恋情人(Sweet Heart)
初恋情人是国产木马,又名Sweet Heart,默认连接端口是8311。自启动程序为C:\
WINDOWS\TEMP\Aboutagirl.EXE,与TXT关联文件c:\windows\system\girl.exe。中了它
的用户比较多除了有人故意下套外,作者也起了一定的作用。原来,作者故意将服务端
和客户端名字搞反了!在压缩包内的文件gf_cilent.exe不是用户端而是服务端,gf_se
rver.exe不是服务端而是用户端!而且各大黑站站长放上来的时候也没注意,哈哈,那
些想害人的人反为人所害!这就是它流行的另一个原因了。
清除方法:
1、删除C:\WINDOWS\TEMP下的Aboutagirl.EXE文件
2、然后,将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由gir
l.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1;
3、再将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的
默认键值由girl.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1
网络神偷(Nethief)
网络神偷又名Nethief,是第一个反弹端口型木马!
什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火
墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接
却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端
口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立
连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧1,并进入监听状
态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般
开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP服务
端的IP地址:1026客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为
是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧,
嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马,网络神偷已经
开始流行!中木马者也日益增多,大家要小心哦!
清除方法:
1、网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除;
2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
OK,神偷完蛋了!
网络公牛(Netbull)
网络公牛又名Netbull,是国产木马,默认连接端口234444,最新版本V1.1。服务端
程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,
下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自
动捆绑以下文件:
win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.e
xe;
winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)not
epad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、IC
Q等)上。在注册表中网络公牛也悄悄地扎下了根,如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunServices
]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
在我看来,网络公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑
功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马
为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺
点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀
疑自己中了木马。
清除方法:
1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2、把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除
)
3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以
通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始->附件->系
统工具->系统信息->工具->系统文件检查器”,在弹出的对话框中选中“从安装软盘
提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,
然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realpla
y.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
聪明基因
聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是
HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件
,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genues
erver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行
之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极?
哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生
成三个文件,分别是:C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\s
ystem\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是
HTM文件呢!
Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,edit
or.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它
。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成
守护进程MBBManager.exe!想清除我?没那么容易!
聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能
,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易!
清除方法:
1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WI
NDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终
止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManag
er.exe,editor.exe在windows下可直接删除。
2. 删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
dows\CurrentVersion\Run下,删除键值“MainBroad BackManager”,其值为C:\WINDO
WS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软!
3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\
command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.e
xe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES
\txtfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\system\editor.ex
e %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。
4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\
command下的默认键值改为C:\WINDOWS\explore32.exe %1,因此要恢复成原值:C:\WIN
DOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hl
pfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为
C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。
好了,可以和聪明基因说“再见”了!
上面介绍的国内最流行十大木马,都是按默认情况下来讲的,也就是在服务端没有
被配置(服务端配置后,就可以任意改名、改连接端口、改关联文件……)的情况下来讲
的,但万变不离其宗,掌握了上面的方法,木马再怎么隐藏也能被发现!从上面我们所
讲,不难看出,木马的隐蔽之所无非就是注册表、Win.ini、System.ini、Autoexec.ba
t、Congfig.sys、Winstart.bat、Wininit.ini、启动组等地方,只要你小心仔细,成为
木马查杀高手也不难!
木马:其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机
提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个
默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Con
nect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我
们称为守护进程。
就我们下面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户
机,被控制端为控制端提供服务。
控制端:对服务端进行远程控制的一方
服务端:被控制端远程控制的一方
控制端程序:控制端用以远程控制服务端的程序
木马程序:潜入服务端内部,获取其操作权限的程序
木马端口:即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端
程序或木马程序
十大常见木马及其查杀方法
冰河
冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒
软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人
使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是
其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口
为7626。一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成Kernel3
2.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysex
plr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexpl
r.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不
止的原因。
清除方法:
1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windowsCurrentVer
sion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windowsCurrentVersion
\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,
由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\note
pad.exe %1,即可恢复TXT文件关联功能。
广外女生
广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远
程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。
其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、
“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”
、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!
该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAG
CFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EX
E文件无法打开的问题。
清除方法:
1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System
目录下的DIAGFG.EXE,删除它;
2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无
法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Rege
dit.com”;
3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改
名的文件);
4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1
" %*;
5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\ RunS
ervices,删除其中名称为“Diagnostic Configuration”的键值;
6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe
”。
7、完成。
Netspy(网络精灵)
Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版
本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通
过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务
端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表H
KEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:
\windows\system\netspy.exe,用于在系统启动时自动加载运行。
清除方法:
1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:
\windows\system\目录下输入以下命令:del netspy.exe 回车!
2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersio
n\Run\,删除Netspy的键值即可安全清除Netspy。
SubSeven
SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连
接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山
毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubS
even服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。
清除方法:
1、打开注册表Regedit,点击至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunSer
vice下,如果有加载文件,就删除右边的项目:加载器="c:\windows\system\***"。注:加载器和文件名是随意改变的
2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除
之。
3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将
它删除。
4、重新启动Windows,删除相对应的木马程序,一般在c:\windows\system下,在我
在本机上做实验时发现该文件名为vqpbk.exe.
黑洞2001
黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀
进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类
的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横
。
黑洞2001服务端被执行后,会在c:\windows\system下生成两个文件,一个是S_Ser
ver.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,
这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节
,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机
器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方
式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后
,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server
.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!
清除方法:
1)、将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER
.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
2)、将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的
默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
3)、将HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunSer
vices\下的串值windows删除。
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键
删除。
5、到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要
注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直
接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe
这个进程,然后再将它删除。
至此就安全的清除黑洞2001了。
WAY2.4(火凤凰、无赖小子)
WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马
高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们
的威胁就更大了。从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注
册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河
的注册表操作没有这么直观——每次我都得一个字符、一个字符的敲击出来,WAY2.4在
注册表操控方面可以说是木马老大。
WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件
的图标,很隐蔽,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充
系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Micros
oft\Windows\CurrentVersion\Run下建立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\m
sgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\system\msgsvc.
exe赫然在列!
清除方法:
要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc
.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可
以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如
果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了!
在删除前请做好备份。
初恋情人(Sweet Heart)
初恋情人是国产木马,又名Sweet Heart,默认连接端口是8311。自启动程序为C:\
WINDOWS\TEMP\Aboutagirl.EXE,与TXT关联文件c:\windows\system\girl.exe。中了它
的用户比较多除了有人故意下套外,作者也起了一定的作用。原来,作者故意将服务端
和客户端名字搞反了!在压缩包内的文件gf_cilent.exe不是用户端而是服务端,gf_se
rver.exe不是服务端而是用户端!而且各大黑站站长放上来的时候也没注意,哈哈,那
些想害人的人反为人所害!这就是它流行的另一个原因了。
清除方法:
1、删除C:\WINDOWS\TEMP下的Aboutagirl.EXE文件
2、然后,将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由gir
l.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1;
3、再将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的
默认键值由girl.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1
网络神偷(Nethief)
网络神偷又名Nethief,是第一个反弹端口型木马!
什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火
墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接
却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端
口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立
连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧1,并进入监听状
态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般
开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP服务
端的IP地址:1026客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为
是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧,
嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马,网络神偷已经
开始流行!中木马者也日益增多,大家要小心哦!
清除方法:
1、网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除;
2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
OK,神偷完蛋了!
网络公牛(Netbull)
网络公牛又名Netbull,是国产木马,默认连接端口234444,最新版本V1.1。服务端
程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,
下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自
动捆绑以下文件:
win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.e
xe;
winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)not
epad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、IC
Q等)上。在注册表中网络公牛也悄悄地扎下了根,如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunServices
]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
在我看来,网络公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑
功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马
为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺
点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀
疑自己中了木马。
清除方法:
1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2、把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除
)
3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以
通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始->附件->系
统工具->系统信息->工具->系统文件检查器”,在弹出的对话框中选中“从安装软盘
提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,
然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realpla
y.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
聪明基因
聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是
HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件
,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genues
erver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行
之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极?
哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生
成三个文件,分别是:C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\s
ystem\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是
HTM文件呢!
Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,edit
or.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它
。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成
守护进程MBBManager.exe!想清除我?没那么容易!
聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能
,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易!
清除方法:
1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WI
NDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终
止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManag
er.exe,editor.exe在windows下可直接删除。
2. 删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
dows\CurrentVersion\Run下,删除键值“MainBroad BackManager”,其值为C:\WINDO
WS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软!
3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\
command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.e
xe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES
\txtfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\system\editor.ex
e %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。
4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\
command下的默认键值改为C:\WINDOWS\explore32.exe %1,因此要恢复成原值:C:\WIN
DOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hl
pfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为
C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。
好了,可以和聪明基因说“再见”了!
上面介绍的国内最流行十大木马,都是按默认情况下来讲的,也就是在服务端没有
被配置(服务端配置后,就可以任意改名、改连接端口、改关联文件……)的情况下来讲
的,但万变不离其宗,掌握了上面的方法,木马再怎么隐藏也能被发现!从上面我们所
讲,不难看出,木马的隐蔽之所无非就是注册表、Win.ini、System.ini、Autoexec.ba
t、Congfig.sys、Winstart.bat、Wininit.ini、启动组等地方,只要你小心仔细,成为
木马查杀高手也不难!
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
