木马攻击的防范与清除
发表于:2015-08-17 15:57 阅读:
防范木马的攻击
从上面的讨论,我们知道木马程序是十分有害的,也是十分狡猾的。计算机一旦感染上木马程序,后果不堪设想。那么,我们可以采取措施来防范木马程序的攻击呢?
1、运行反木马实时监控程序
我们在上网时,必需运行反木马实时监控程序。例如,the cleaner,它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息。另外,也可采用一些专业的最新杀毒软件、个人防火墙进行监控。
2、不要执行任何来历不明的软件
对于从网上下载的软件在安装、使用前一定要用反病毒软件进行检查,最好是专门查杀木马程序的软件进行检查,确定没有木马程序再执行、使用。
3、不要轻易打开不熟悉的邮件
现在,很多木马程序附加在邮件附件中,收邮件者一旦点击附件,它就会立即运行。所以,千万不要打开对于那些不熟悉的邮件,特别是标题有点乱的邮件,往往就是木马携带者。
4、不要轻信他人
不要因为是我们的好朋友发来的软件就运行,因为我们不能确保他的电脑上就不会有木马程序。当然,好朋友故意欺骗的可能性不大,但也许他(她)中了木马程序自己还不知道呢!况且今天的互联网,到处充满危机,我们也不能保证这一定是好朋友发给我们的,也许,是别人冒名给我们发的邮件或文件。
5、不要随便下载软件
不要随便在网上下载一些盗版软件,特别是不可靠的小FTP站点、公众新闻级、论坛或BBS上,因为这些地方正是新木马发布的首选之地。
6、将windows资源管理器配置成始终显示扩展名
因为一些扩展名为:VBS、SHS、PIF的文件多为木马程序的特征文件,一经发现要立即删除,千万不要打开。
7、尽量少用共享文件夹
如果计算机连接在互联网或局域网上,要少用,尽量不用共享文件夹,如果因工作等其它原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中。注意,千万不要把系统目录设置成共享!
8、隐藏IP地址
这一点非常重要。我们在上网时,最好用一些工具软件隐藏自己计算机的IP地址。例如,使用ICQ时,可以进入“ICQMenu\Securi-ty&Privacy”,把“IP Publishing”下面的“Do not Publish IP address”选项上。
上面,我们讲了预防木马程序攻击的八个方法,似乎已经很安全了。但是,我们知道的方法,木马程序设计者自然也会知道,他们会想尽一切办法,尽量避免被我们预防到。
[1] [2] [3]
木马攻击的防范与清除[2]
进入社区
木马的清除
我们知道,木马程序会想尽一切办法隐藏自己,让我们无法看见它或感觉到它的存在。那么,计算机一旦感染上木马程序,我们应该怎么清除它呢?
如果发现有木马程序存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对计算机进行攻击。然后编辑Win.ini文件,将该文件[WINDOWS]段下面的“run=木马程序”或“load=木马程序”更改为“run=”和“load=”。
接着,编辑System.ini文件,将该文件[BOOT]下面的“shell=木马程序”,更改为:“shell=explorer.exe”。
最后,修改系统注册表。在注册表中,用regedit对注册表进行编辑,先在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序。
需要注意的是:有的木马程序并不是直接将“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的木马键值删除就行了,因为有的木马程序,例如:BladeRunner木马,如果我们删除它,木马会立即自动加上。这时候,我们要记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。重新启动计算机,然后再到注册表中将所有木马文件的键值删除。
下面,我们通过几个实例,具体讲述常见木马程序的清除方法。
1、WAY 2.4
WAY 2.4的服务端运行后,在C:\windows\system下生成msgsvc.exe文件,图标用的仍然是文本文件的图标,文件大小235,008字节,文件修改时间为
要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的文件msgsvc.exe就可以了。要注意在Windows下直接删除msgsvc.exe是不行的,我们必须使用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe。
另一种清除WAY2.4的方法是运行客户端文件P_client.exe,点击“命令控制台->系统设置->服务端设置->卸载服务端”就可以安全的清除WAY2.4了。
2、Back Orifice(BO)
Back Oriffce是一个老牌木马程序了,该木马可以搜集信息,执行系统命令,重新设置机器,重定向网络的客户端/服务器应用程序。在服务端安装BO非常简单。只要执行BO的服务端程序,就装好了。这个可执行文件名字最初叫做bo2k.exe,但以后可能会被改名,在BO客户端安装时,或在BO2K设置向导里指定的。向导会指导用户进行几个设置,包括服务端文件名(可执行文件)、网络协议(TCP或UDP)、端口、加密和密码等。这个过程完成后,运行bo2kgui.exe(BO图形用户界面)。设置向导允许服务端执行快速安装,使用默认设置,以便立即使用BO控制远程机器。但是,可以用设置工具手动设置很多选项。这些选项主要是防止BO被发现用的。
要清除BO木马程序,只要检查系统注册表
HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中有无Umgr32.exe键值。如有,则将其删除,并进入MS-DOS方式,将“\Windows\System”中的Umgr32.exe文件删除就可以了。
3、Happy99
Happy99木马程序在首次运行时,会在荧幕上开启一个名为“Happy new year
要清除happy99木马程序,我们可以检查系统注册表HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce中有无键值Ska.exe。如有,将其删除,并删除“\Windows\System”中的Ska.exe和Ska.dll两个文件,将Wsock32.ska更名为Wscok32.dll就可以了。
木马攻击的防范与清除[3]
进入社区
4、冰河
冰河是最有名的木马程序之一,许多杀毒软件(例如KV3000、瑞星杀毒等)可以查杀它。
作为木马程序,冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server.exe,那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和txt文件(文本文件)关联。即使删除了Kernel32.exe,但只要我们打开文本文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河程序屡删不止的原因。
下面是清除冰河木马程序的步骤:
(1)要删除冰河木马,我们需要用纯DOS启动进入系统(以防木马的自动恢复),删除安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件。注意,如果系统提示不能删除它们,则因为木马程序自动设置了这两个文件的属性,我们只需要打开它们的隐藏、只读属性,方法是键入如下命令:Attrib a h r kernel32.exe或sysexplr.exe即可。
(2)冰河木马程序在注册表
HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run
下扎根,键值为C:\windows\system\Kernel32.exe,我们必须找到这个键值,并删除它。
(3)冰河木马程序还在注册表
HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices
下添加了键值为C:\windows\system\Kernel32.exe的,我们也要找到,并删除。
最后,修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1,即可恢复文本文件关联功能。
5、Asylum
这个木马程序采用比较陈旧的方式,修改系统配置文件System.ini和Win.ini。要清除它,我们可以先查一下System.ini文件下面的[BOOT]项,看看“shell=explorer.exe”,如不是,则删除它,用回上面的设置,并记下原来的文件名以便回过头去在纯DOS下删除它。再打开Win.ini文件,看在[windows]项下的"run=”是不是有什么文件名,如有,记下它以便回过头过在纯DOS下删除相应的文件名。
6、广外女生
广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!
该木马程序运行后,将会在系统的System目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE和.COM文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。
下面是广外女生木马程序的清除步骤:
(1)运行Regedit.exe,打开注册表编辑器,先放在这里,不要关闭。
(2)使用进程管理工具,终止DIAGCFG.EXE的运行。
(3)在注册表编辑器中找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成“%1”%*。
(4)在注册表编辑器中找到HKEY_CLASSES_ROOT\comfile\shell\open\command,将其默认键值改成“%1”%*。
(5)在注册表编辑器中找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices,删除其中名称为“Diagnostic Configuration”的键值;
(6)关掉注册表编辑器,在资源管理器中找到System目录下的DIAGFG.EXE,删除它。
7 Netspy(网络精灵)
Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了。服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件,同时在注册表
HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。
下面是清除网络精灵木马程序的步骤:
(1)重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe 回车。
(2)启动Windows系统,进入注册表编辑器,查找
HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\删除Netspy的键值。
8 SubSeven
SubSeven木马程序的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2,默认连接端口为27374,服务端程序比较小,只有54.5kB,很容易被捆绑到其它软件而不被发现,最新版的金山毒霸等杀毒软件也查不到它。服务器端程序名称为server.exe,客户端程序名称为subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查找它的踪影。
下面是清除SubSeven木马程序的步骤:
(1)打开注册表Regedit,找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService,如果有加载文件,就删除右边的项目:加载器="c:\windows\system\***"(加载器和文件名是随意改变的)。
(2)打开win.ini文件,检查“run=”后是否加上某个可执行文件名,如有,则删除之。
(3)打开system.ini文件,检查“shell=explorer.exe”后是否跟有某个文件,如有,则将它删除。
(4)重新启动Windows,在c:\windows\system下删除相对应的木马程序。
此文章节选自《计算机病毒与木马程序剖析》
(非特殊说明,本文版权归原作者所有,转载请注明出处 )
鸣人致力于为企业提供数据恢复、机房建设、数据库运行、运营及安全等全方位服务。
想在手机上、随时获取互联网前沿、设计资讯以及各种意想不到的"福利"吗?通过微信扫描二维码快速添加