computer 版 (精华区)

发信人: retry (虑澹物自轻 意惬理无违), 信区: network
标  题: 11
发信站: 听涛站 (2001年05月17日17:43:59 星期四), 站内信件

在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.e
xe和bo.exe木马，但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以
Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。
Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS
将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\S
oftware\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你
再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长
度也被改变了，但是在注册表中的位置不会改变，你可以到注册表的这个位置去找。
另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WI
NDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mri
ng.exe的变种。
SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，
于是有人认为这是傻瓜木马，笔者倒认为这是最最可恶、最最阴险的木马。别的木马被
加到了注册表中，你就有痕迹可查了，就连专家们认为最最凶恶的BO木马也可以轻而易
举地被我们从注册表中删除。
而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作
，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。笔者在自己的电
脑中做了这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，A
bcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊
天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打
字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.e
xe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理
，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号
工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴
险的木马，让人防不胜防。
有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并
且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可
以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中
的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再
看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以
隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
--
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]