computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: 国内最流行十大木马查杀(3)
发信站: 听涛站 (2001年11月30日14:46:35 星期五), 站内信件

网络公牛（Netbull）
　　网络公牛又名Netbull，是国产木马，默认连接端口234444，最新版本V1.1。服务端
程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，
下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自
动捆绑以下文件:
win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe；

winnt/2000下：(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad
.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)
上。在注册表中网络公牛也悄悄地扎下了根，如下：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
　　在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑
功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马
为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺
点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀
疑自己中了木马。
　　清除方法：
　1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
　　2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除
）
　　3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以
通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－>附件－>系
统工具－>系统信息－>工具－>系统文件检查器”，在弹出的对话框中选中“从安装软盘
提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，
然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realpla
y.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。
聪明基因
　　聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是
HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件
，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genues
erver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行
之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？
　　哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生
成三个文件，分别是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\s
ystem\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是
HTM文件呢！
　　Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，edit
or.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它
。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成
守护进程MBBManager.exe！想清除我？没那么容易！
　　聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个
功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！
　　清除方法：
　　1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WI
NDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终
止MBBManager.exe这个进程，然后在windows下将它删除。也可到纯DOS下删除MBBManag
er.exe，editor.exe在windows下可直接删除。
　　2. 删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
dows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WINDO
WS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！
　　3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\
command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.e
xe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES
\txtfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\system\editor.ex
e %1改为C:\WINDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。
　　4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\
command下的默认键值改为C:\WINDOWS\explore32.exe %1，因此要恢复成原值：C:\WIN
DOWS\WINHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hl
pfile\shell\open\command下，将此时的默认键值由C:\WINDOWS\explore32.exe %1改为
C:\WINDOWS\WINHLP32.EXE %1，这样就将HLP文件关联恢复过来了。
　　好了，可以和聪明基因说“再见”了！
上面介绍的国内最流行十大木马，都是按默认情况下来讲的，也就是在服务端没有被配
置(服务端配置后，就可以任意改名、改连接端口、改关联文件……)的情况下来讲的，
但万变不离其宗，掌握了上面的方法，木马再怎么隐藏也能被发现！从上面我们所讲，
不难看出，木马的隐蔽之所无非就是注册表、Win.ini、System.ini、Autoexec.bat、C
ongfig.sys、Winstart.bat、Wininit.ini、启动组等地方，只要你小心仔细，成为木马
查杀高手也不难！

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 修改:·neverbw 於 11月30日14:47:05 修改本文·[FROM: 匿名天使的家]
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]