computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: 国内最流行十大木马查杀(2)
发信站: 听涛站 (2001年11月30日14:44:47 星期五), 站内信件

黑洞2001
　　黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀
进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类
的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横
。
　　黑洞2001服务端被执行后，会在c:\windows\system下生成两个文件，一个是S_Ser
ver.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，
这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节
，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件用来机
器开机时立刻运行，并打开默认连接端口2001，S_Server.exe文件用来和TXT文件打开方
式连起来(即关联)！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后
，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server
.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！
　　清除方法：
　　1)、将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER
.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
　　2)、将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的
默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
　　3)、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\下的串值windows删除。
　　4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键
删除。
　　5、到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要
注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直
接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe
这个进程，然后再将它删除。
　　至此就安全的清除黑洞2001了。
WAY2.4（火凤凰、无赖小子）
　　WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马
高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们
的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注
册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河
的注册表操作没有这么直观——每次我都得一个字符、一个字符的敲击出来，WAY2.4在
注册表操控方面可以说是木马老大。
　　WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文
件的图标，很隐蔽，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒
充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Micr
osoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM
\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsv
c.exe赫然在列！
　　清除方法：
　　要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc
.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可
以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如
果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！
　　在删除前请做好备份。
初恋情人（Sweet Heart）
　　初恋情人是国产木马，又名Sweet Heart，默认连接端口是8311。自启动程序为C:\
WINDOWS\TEMP\Aboutagirl.EXE，与TXT关联文件c:\windows\system\girl.exe。中了它
的用户比较多除了有人故意下套外，作者也起了一定的作用。原来，作者故意将服务端
和客户端名字搞反了！在压缩包内的文件gf_cilent.exe不是用户端而是服务端，gf_se
rver.exe不是服务端而是用户端！而且各大黑站站长放上来的时候也没注意，哈哈，那
些想害人的人反为人所害！这就是它流行的另一个原因了。
　　清除方法：
　　1、删除C:\WINDOWS\TEMP下的Aboutagirl.EXE文件
　　2、然后，将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由gir
l.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1；
　　3、再将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的
默认键值由girl.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1
网络神偷（Nethief）
　　网络神偷又名Nethief，是第一个反弹端口型木马！
　　什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火
墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接
却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端
口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立
连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听
状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一
般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　
服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就
会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户
向外连接80端口吧，
　　嘿嘿。最新线报：目前国内木马高手正在大规模试验(使用)该木马，网络神偷已经
开始流行！中木马者也日益增多，大家要小心哦！
　　清除方法：
　　1、网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除；
　　2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
　　OK，神偷完蛋了！

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]