网上九大流行木马的清除方法(上)

网络公牛（Netbull）

　　网络公牛又名Netbull，是国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:WINDOWSSYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件:

　　win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe；

　　winnt/2000下：(在2000下会出现文件改动报警但也不能阻止以下文件的捆绑)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

　　服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根，如下：

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] "CheckDll.exe"=

　　"C:WINDOWSSYSTEMCheckDll.exe"

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices]

　　"CheckDll.exe"="C:WINDOWSSYSTEMCheckDll.exe"

　　[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun] "CheckDll.exe"=

　　"C:WINDOWSSYSTEMCheckDll.exe"

　　在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

　　清除方法：

　　1、删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。

　　2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）

　　3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－>附件－>系统工具－>系统信息－>工具－>系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。

　　网络神偷（Nethief）

网络神偷又名Nethief，是第一个反弹端口型木马！

　　什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向

外连接80端口吧，

　　嘿嘿。最新线报：目前国内木马高手正在大规模试验(使用)该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！

　　清除方法：

　　1、网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值“internet”，其值为"internet.exe /s"，将键值删除；

　　2、删除其自启动程序C:WINDOWSSYSTEMINTERNET.EXE。

　　OK，神偷完蛋了！

　　WAY2.4（火凤凰、无赖小子）

　　WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。

　　WAY2.4服务端被运行后在C:windowssystem下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽，文件大小235008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立串值Msgtask，其键值为C:WINDOWSSYSTEMmsgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:windowssystemmsgsvc.exe赫然在列！

清除方法：

　　要清除WAY，只要删除它在注册表中的键值，再删除C:windowssystem下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！ 　　

　　在删除前请做好备份

　　冰 河

　　冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 　　

　　冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

　　清除方法：

　　1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

　　2、冰河会在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersion

　　Run下扎根，键值为C:windowssystemKernel32.exe，删除它。

　　3、在注册表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersionRunservices下，还有键值为C:windowssystemKernel32.exe的，也要删除。

　　4、最后，改注册表HKEY_CLASSES_ROOT xtfileshellopencommand下的默认值，由中木马后的C:windowssystemSysexplr.ex

e %1改为正常情况下的C:windows otepad.exe %1，即可恢复TXT文件关联功能。

　　广外女生

　　广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！

该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。

　　清除方法：

　　1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它

　　2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；

　　3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；

　　4、找到HKEY_CLASSES_ROOTexefileshellopencommand，将其默认键值改成"%1" %*；

　　5、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersion RunServices，删除其中名称为“Diagnostic Configuration”的键值；

　　6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

　　7、完成。

　　聪明基因

　　聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？

　　哈哈，木马就是如此，骗你没商量