频道栏目
首页 > 安全 > 系统安全 > 正文

网上九大流行木马的清除方法(下)

2004-10-01 22:51:59           
收藏   我要投稿
有兴趣和我探讨计算机的朋友们请+QQ:9535191!


黑洞2001

  黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。

  黑洞2001服务端被执行后,会在c:windowssystem下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!

  清除方法:

  1)、将HKEY_CLASSES_ROOT xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %1

2)、将HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %1

  3)、将HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices下的串值windows删除。

  4)、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES下的Winvxd主键删除。   

  5)、到C:WINDOWSSYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。

  至此就安全的清除黑洞2001了。

  Netspy(网络精灵)

  Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下建立键值C:windowssystem etspy.exe,用于在系统启动时自动加载运行。

  清除方法:

  1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:windowssystem目录下输入以下命令:del netspy.exe 回车!

  2、进入注册表HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun,删除Netspy的键值即可安全清除Netspy。

  SubSeven

  SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难

/P>

  清除方法:

  1、打开注册表Regedit,点击至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载器="c:windowssystem***"。注:加载器和文件名是随意改变的

  2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。

  3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。

  4、重新启动Windows,删除相对应的木马程序,一般在c:windowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe

相关TAG标签 木马 方法
上一篇:论附加码的安全
下一篇:网上九大流行木马的清除方法(上)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站