computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: 国内最流行十大木马查杀(1)
发信站: 听涛站 (2001年11月30日14:43:30 星期五), 站内信件

前 言
　　经过媒体的大量宣传，大家对木马有了一定的认识，但大多数人对木马还是陌生和
恐惧的感觉。其实，木马没有什么可神秘的，只要你能掌握以下国内最流行十大木马查
杀，那么对付其它木马程序就很容易了——你会骄傲的说：木马查杀？Easy！
基本概念
名词 解释
木马 　　其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提
供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默
认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Conne
ct Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们
称为守护进程。
　　就我们下面所讲木马来说，被控制端相当于一台服务器，控制端则相当于一台客户
机，被控制端为控制端提供服务。
控制端 　　对服务端进行远程控制的一方
服务端 　　被控制端远程控制的一方
控制端程序 　　控制端用以远程控制服务端的程序
木马程序 　　潜入服务端内部，获取其操作权限的程序
木马端口 　　即控制端和服务端之间的数据入口，通过这个入口，数据可直达控制端程
序或木马程序
十大常见木马及其查杀方法
冰 河
　　冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒
软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人
使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是
其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。
　　冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口
为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel3
2.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysex
plr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexpl
r.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不
止的原因。
　　清除方法：
　　1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。
　　2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。
　　3、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也
要删除。
　　4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，
由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\note
pad.exe %1，即可恢复TXT文件关联功能。
广外女生
　　广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远
程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。
其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、
“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”
、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！
　　该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAG
CFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EX
E文件无法打开的问题。
　　清除方法：
　　1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System
目录下的DIAGFG.EXE，删除它；
　　2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无
法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Rege
dit.com”；
　　3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改
名的文件）；
　　4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1
" %*；
　　5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值
；
　　6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe
”。
　　7、完成。
Netspy（网络精灵）
　　Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版
本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通
过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务
端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表H
KEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:
\windows\system\netspy.exe，用于在系统启动时自动加载运行。
　　清除方法：
　　1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:
\windows\system\目录下输入以下命令：del netspy.exe 回车！
　　2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersio
n\Run\，删除Netspy的键值即可安全清除Netspy。
SubSeven
　　SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连
接端口27374)，服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山
毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubS
even服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。　

　　清除方法：
　　1、打开注册表Regedit，点击至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService
下，如果有加载文件，就删除右边的项目：加载器="c:\windows\system\***"。注：加
载器和文件名是随意改变的
　　2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除
之。
　　3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有
将它删除。
　　4、重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，在我
在本机上做实验时发现该文件名为vqpbk.exe。

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]