自己动手清除计算机中隐藏的特洛伊木马程序
病毒手动查杀步骤参考
中毒症状1
桌面被修改成如图所 示,且右键→属性, 显示属性中的主题、 桌面选项卡中的设置 项无法使用、或使用 后不生效。切每次注 销,启动,重启后背 景色会变动。
中毒症状2
打开任务管理器时, 提示任务管理器以被 管理员禁用,打开命 令行时,命令行被强 制关闭,切弹出英文 提示框,bat文件执行 现象同命令行。且rar 压缩文件不能执行。
通过任务管理器将通过任务管理器将smss32exesmss32exe进程关闭后进程关闭后进入进入windowswindowssystem32system32将将smss32exesmss32exe文件删文件删除且在原处创建文件夹除且在原处创建文件夹smss32exesmss32exe并进入并进入命令行到当前目录下执行命令行到当前目录下执行attribsmss32exesmss32exe进行手动文件免疫以免改文件进行手动文件免疫以免改文件被再次生成
进入windows\system32将winlogon32.exe删除。
启动SREngLdr.exe软件,启动项目会自动跳出 该注册表键值被修改,是否需要修复。
KEY_LOCAL_MACHINE\Software\Microsoft\ WINDOWSNT\CurrentVersion\Winlogon\Us erinit 键值为: C:\WINDOWS\system32\winlogon32.exe
病毒程序漏洞
经多次测试,发现该程序只能对一个命令 行进行监控,即当不理会提示框的情况下 打开第二个命令行时,第二个命令行将不 被强行关闭,且可以正常使用。
查找病毒启动项
使用msconfig命令打开系2.exe 的启动项。
smss(Session Manager Subsystem)是会话管理 子系统用以初始化系统变量。
第五章 特洛伊木马
6、隐藏在应用程序的启动配置文件中 木马控制端利用应用程序的启动配置文 件能启动程序的特点,将制作好的带有木 马启动命令的同名文件上传到服务端覆盖 该同名文件,这样就可以达到启动木马的 目的。 7、伪装在普通文件中 具体方法是把可执行文件伪装成图片或 文本。
8、内置到注册表中 木马可以隐藏在注册表中由于系统启动时自动 执行程序的键值中,如: HKEY_LOCAL_MACHINE\software\ HKEY_LOCAL_MACHINE\software\Microsoft \Windows\CurrentVersion下所有以“run”开头的 Windows\CurrentVersion下所有以“run” 键值; HKEY_CURRENT_USER\software\microsoft\ HKEY_CURRENT_USER\software\microsoft\ Windows\CurrentVersion下所有以“run” Windows\CurrentVersion下所有以“run”开头的 键值; HKEY_USERS\.Default\Software\Microsoft\ HKEY_USERS\.Default\Software\Microsoft\Wi ndows\CurrentVersion下所有以“run” ndows\CurrentVersion下所有以“run”开头的键 值。
木马的启动方式
木马想要达到控制或者监视计算机的目的, 必须要运行,自动启动功能是必不可少的, 这样可以保证木马不会因为用户的一次关 机操作而彻底失去作用。常用的方法有以 下几种:
1、集成(捆绑)到应用程序中。 如绑定到系统文件中,那么每次WINDOWS启 如绑定到系统文件中,那么每次WINDOWS启 动均会启动木马。 2、隐藏在Autoexec.bat和Config.sys中 、隐藏在Autoexec.bat和Config.sys中 很多用户一般不处理系统的配置文件,这正好 给木马提供了一个藏身之处,利用配置文件的特殊 作用,木马很容易在计算机中运行。 当你启动dos的时候, 当你启动dos的时候,不执行任何动作,便会看到 一个光标而已,如果你要在dos启动的时候让他自 一个光标而已,如果你要在dos启动的时候让他自 动执行一些命令,那就可以编辑Autoexec.bat, 动执行一些命令,那就可以编辑Autoexec.bat,dos 会自动执行它。你可以在Autoexec.bat里写 会自动执行它。你可以在Autoexec.bat里写 echo hello this is dos command. 那示"hello this is dos command"
特洛伊木马
网络钓鱼挂马
网络中最常见的欺骗手段,黑客们利用人们的猎 奇、贪心等心理伪装构造一个链接或者一个网页, 利用社会工程学欺骗方法,引诱点击,当用户打 开一个看似正常的页面时,网页代码随之运行, 隐蔽性极高。
伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计 缺陷制造的一种高级欺骗技术,当用户访问木马 页面时地址栏显示或者 等用户信任地址,其实却 打开了被挂马的页面,从而实现欺骗。
• 第四阶段在进程隐藏方面做了非常大的改动,采用了 内核插入式的嵌入方式,利用远程插入线程技术嵌入 DLL线程,或者挂接PSAPI实现木马程序的隐藏。即 使在Windows NT/2K下,这些技术都达到了良好的隐 藏效果。
• 相信,第五代木马的技术更加先进。
木马的关键技术
——植入技术
植入技术
升级植入:打补丁是目前内核及功能升级重要途 径。由于升级包发布途径不严格且非常复杂,因 此,这将成为传播木马的一个有效途径。 网站(网页)植入:网站挂马是传播木马的最佳 途径之一。把木马连接潜入到网站上,当用户访 问该网站时,把木马自动种植到用户的计算机上。 在辅助以附加手段的前提下,该方法也可以实现 定点植入。 漏洞植入:木马通过操作系统的漏洞直接传播给 计算机,其中间桥梁是诸如局域网、Internet、 WiFi、蓝牙、红外等网络连接。
木马检测、清除、防范
• 关键技术、实用工具、防范
怎样才能使计算机更安全?
木马的介绍
概念
特洛伊木马(Trojan Horse) :是一种与远程计算 机之间建立起连接,使远程计算机能够通过网络 控制用户计算机系统并且可能造成用户的信息损 失、系统损坏甚至瘫痪的程序。
木马的组成
硬件:控制端、服务端、Internet 软件:控制端程序、木马程序、木马配置程序 连接:控制、服务端IP, 控制、服务端Port
木马病毒
怎么防止木马病毒
1.安装正版的杀毒软件、个人防火墙和上网安全 助手,并及时进行升级。 2.使用360安全卫士的 “系统安全漏洞扫描”,打好补丁,弥补系统漏 洞。 3. 建立良好的安全习惯,不打开可疑邮件不 浏览不良网站,不随意下载安装可疑插件。 4.不 接收QQ、MSN、邮件等等传来的可疑文件。 5. 上网的时候要开启防火墙和杀毒软件的实时监控。 6. 建立良好的安全习惯,关闭或删除系统中不需 要的服务; 7.对下载的文件及时杀毒,再打开。 8. 定期浏览正规的杀毒软件官网网站,查看最新的 病毒介绍,及时做好预防工作 。
木马病毒是怎么形成的
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就 在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权 限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的 功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特 点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊 木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上 运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行 了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。 大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用 一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使 用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分 就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服 务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器 运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加 密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
请小心这匹“马”!
——带你认识木马病毒
特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马病毒的隐藏技术李军丽云南大学信息学院 云南 650031摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
关键词:木马病毒;网络安全;隐藏技术0 引言随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。
隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
1 木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。
木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。
1.1 本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。
或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。
1.2 木马的启动隐藏方式(1) 本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。
木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。
由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。
(2) 通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。
像Autoexec.bat和Config.sys。
特洛伊木马的工作原理及清除
特洛伊木马的工作原理及清除
白皓
【期刊名称】《气象与环境科学》
【年(卷),期】2003(000)002
【摘要】介绍了特洛伊木马程序的隐藏、加载及清除技术.
【总页数】1页(P42-42)
【作者】白皓
【作者单位】项城市气象局河南项城 466200
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.特洛伊木马的清除和防范方法 [J], 申文玉;刘宗仁
2.特洛伊木马“清除器” [J], 张涌金;
3.特洛伊木马Setiri的工作原理和防范方法 [J], 吴奇泽
4.特洛伊木马工作原理分析及清除方法 [J], 张慧丽
5.计算机特洛伊木马病毒的攻击与清除 [J], 舒军晓
因版权原因,仅展示原文概要,查看原文内容请购买。
如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.
如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.篇一:《计算机病毒》复习思考题20XX20XX《计算机病毒》复习思考题第一手资料:教材、教学PPT必读参考资料:1.金山毒霸20XX-20XX中国互联网安全研究报告.doc2.中国互联网站发展状况及其安全报告(20XX年).pdf3.瑞星20XX年上半年中国信息安全报告.pdf4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc5.★★★木马防治之“葵花宝典”.doc6.★★★深层病毒防护指南.doc7.专题:★★★手动杀毒综合篇.doc8.打造安全U盘(实验).doc9.打造安全、流畅、稳定的系统.ppt10.HiPS主机入侵防御系统.ppt11.关于HoSTS文件.doc12.病毒触发条件.doc第一章计算机病毒概述1.简述计算机病毒的定义和特征。
2.如何通过病毒的名称识别病毒的类型?3.计算机病毒有哪些传播途径?查找相关资料,试述计算机病毒发展趋势与特点。
研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法?第2章预备知识1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FoRmaT)能否清除任何计算机病毒?为什么?3.doS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?4.针对PE文件格式,请思考:win32病毒感染PE文件,须对该文件作哪些修改?第3章计算机病毒的逻辑结构与基本机制1.文件型病毒有哪些感染方式?2.计算机病毒的感染过程是什么?3.计算机病毒一般采用哪些条件作为触发条件?试述计算机病毒的逻辑结构。
第4章doS病毒的基本原理与doS病毒分析1.试述引导型病毒的启动过程。
2.编写程序,利用inT13H实现引导区的备份与恢复。
特洛伊木马隐藏技术研究及实践
1引言特洛伊木马(简称木马)是指一类伪装成合法程序或隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。
木马的首要特征是它的隐蔽性,为了提高自身的生存能力,木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。
FredCohen等人[1,2]对病毒进行了深入研究,他们将木马作为病毒的一种特例,并给出了病毒和木马的数学模型,但未对木马的隐藏特征进行分析。
HaroldThimbleby等人[3]对病毒和木马模型框架进行了研究,给出了木马的形式化模型,对木马隐藏的特征进行了描述,但未对木马协同隐藏进行描述和分析。
张新宇等人[4]仅对Linux环境下的木马隐藏(包括协同隐藏)进行了研究,但未涉及Windows环境。
笔者在对木马隐藏技术归纳研究的基础上,深入分析研究了协同隐藏,并针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,提出两种基于该思想的新型木马结构,深化了协同隐藏思想,提高了木马的隐藏能力和生存能力。
2隐藏技术木马程序与普通远程管理程序的一个显著区别是它的隐藏性。
木马被植入后,通常利用各种手段来隐藏痕迹,以避免被发现和追踪,尽可能延长生存期。
隐藏技术是木马的关键技术之一,笔者从本地隐藏、通信隐藏和协同隐藏3个方面对木马隐藏技术进行分析研究。
2.1本地隐藏本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段,主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。
这些手段可以分为三类:(1)将木马隐藏(附着、捆绑或替换)在合法程序中;(2)修改或替换相应的检测程序,对有关木马的输出信息进行隐蔽处理;(3)利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。
2.1.1启动隐藏启动隐藏,是指目标机自动加载运行木马程序,而不被用户发现。
在Windows系统中,比较典型的木马启动方式有:修改系统“启动”项;修改注册表的相关键值;插入常见默认启动服务;修改系统配置文件(Config.sys、Win.ini和System.ini等);修改“组策略”等。
第五章特洛伊木马
要隐藏木马的服务器端,可以伪隐藏,也 可以真隐藏。 伪隐藏是指,程序进程仍然存在,只不 过让它消失在进程列表中。实现方法比较 简单只要把木马服务器端的程序注册成一 个服务,就可以使程序从进程列表中消失。 当进程为真隐藏的时候,这个木马服务 器运行之后,就不应该具备一般进程的表 现,也不应该具备服务的表现,也就是说, 完全融进了系统的内核。
3、潜伏在Win.ini中 木马必须找一个既安全又能在系统启动 时自动运行的地方,于是潜伏在Win.ini中是 木马感觉比较惬意的地方。打开Win.ini,可 以看到该文件[windows]字段中有启动命令 “load=”和“run=”,在一般情况下“=”后 面是空白的,如果后面有程序,例如: run=c:\windows\file.exe load=c:\windows\file.exe 这时就要小心了,这个file.exe很可能是 木马。
计算机病毒与反病毒 技术
第五章 特洛伊木马
特洛伊木马的定义
它是一种恶意程序,是一种基于远程控制的黑客 工具,一旦侵入用户的计算机,就悄悄地在宿主 计算机上运行,在用户毫无察觉的情况下,让攻 击者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠标、 监视/控制键盘,或窃取用户信息。
微软也对此做了相当的防范,在 Windows2000的systerm32目录下有一个 dllcache目录,这个目录中存放着大量的 DLL文件,这是微软用来保护DLL的法宝: 一旦操作系统发现被保护的DLL文件被篡改, 它就会自动从dllcache中恢复该文件。虽然 说先更改dllcache目录中的备份,再修改 DLL文件本身可以绕过这个保护。但同时 DLL木马本身有着一些漏洞(如修复安装、 安装补丁、检查数字签名等方法都有可能 导致DLL木马失效),所以这个方法也不能 算是DLL木马的最佳选择。
木马的7种分类
木马的7种分类木马(Trojan Horse)是一种恶意软件,以其隐藏在合法程序背后的方式而得名,就像古希腊传说中的木马一样。
木马程序通常会伪装成一个合法的程序或文件,隐藏着恶意代码,一旦被执行,就会对计算机系统进行破坏或窃取信息。
木马程序在计算机安全攻击中被广泛使用,具有隐蔽性强、攻击范围广、破坏性大等特点。
根据木马程序的功能和特点,可以将木马分为不同的分类。
以下是木马的七种分类:1. 后门木马后门木马是一种黑客利用的最常见的木马程序。
它的作用是在受害者的计算机上开启一个后门,使黑客可以通过这个后门远程控制受害者的计算机。
黑客可以通过远程控制进行窃取信息、监视受害者、植入其他恶意软件等活动。
后门木马通常会隐藏在看似正常的程序中,一旦被执行,就会在计算机系统中建立一个隐藏的后门,使黑客可以远程访问受害者的计算机。
2. 间谍木马间谍木马是一种专门用于窃取用户隐私信息的木马程序。
它可以监视受害者的操作,窃取敏感信息,如账号密码、银行卡号、个人通讯录等。
间谍木马通常会隐藏在一些伪装成有吸引力的软件或文件中,一旦被执行,就会在受害者的计算机上悄悄运行,并开始窃取隐私信息。
3. 下载器木马下载器木马是一种专门用于下载和安装其他恶意软件的木马程序。
它通常会依附在一个合法的程序中,一旦被执行,就会开始下载其他恶意软件,如病毒、蠕虫等到受害者的计算机。
下载器木马可以通过下载其他恶意软件来扩大攻击范围,形成恶意软件的传播链条。
4. 逻辑炸弹木马逻辑炸弹木马是一种在特定条件下触发破坏事件的木马程序。
它通常会在受害者的计算机上设置一个触发条件,一旦触发条件满足,就会执行破坏性的行为,如删除文件、格式化硬盘等。
逻辑炸弹木马通常会在用户不知情的情况下设置触发条件,一旦被触发,就会对计算机系统造成破坏。
5. 拒绝服务木马拒绝服务木马是一种专门用于对目标系统进行拒绝服务攻击的木马程序。
它会利用目标系统的漏洞,通过发送大量的恶意请求来占用目标系统的资源,使其无法正常对外提供服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自己动手清除计算机中隐藏的特洛伊木马程序
特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和
危害性,它可以在你并不知情的的状态下控制你或者监视你的电脑。下面就讲讲木马经常藏
身的地方和清除方法。
首先查看自己的电脑中是否有木马
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常
常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后
上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马
又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启
动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已
经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用
配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大
家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加
载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在
自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动
物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是
潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]
字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比
方说是这个样子:run=c:windowsfile.exe load=c:windowsfile.exe
这时你就要小心了,这个file.exe很可能是木马哦。
4、伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容
易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默
认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是”不显示已知的文件后缀名”,
文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就
更完美了)。
5、内置到注册表中
上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!
然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有
不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的
地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快
检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的
键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头
的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头
的键值。
6、在System.ini中藏身
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录
下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件
有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe
file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!
另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里
也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,
这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注
意这里喽。
7、隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木
马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此
按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注册表中的位置:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerShellFolders Startup=“C:windowsstart menuprogramsstartup”。要注意经常检查启
动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,
Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及
Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通
过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可
以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险
由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的
带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目
的了。
10、设置在超级连接中
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开
门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。
下面再看木马的清除方法
1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,
再将可疑的删除。
2、删除上述可疑键在硬盘中的执行文件。
3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一
般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑
的.exe,.com或.bat文件,有则删除之。
4、检查注册表HKEY_LOCAL_MACHINE和
HKEY_CURRENT_USERSOFTWAREMicrosoft Internet ExplorerMain中的几项(如Local
Page),如果被修改了,改回来就可以。
5、检查HKEY_CLASSES_ROOTinifileshellopencommand和
HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是
否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长
生不老,永杀不尽”的。
6、如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用
IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%systemmapis32a.dll 文件把密码送
到一个邮箱中,由于我用的是W2K,所以它当然没有得手。
至此,病毒完全删除! 笔者建议有能力的话,时刻注意系统的变化,奇怪端口、
可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多,所以
尽量自己杀毒(较简单的病毒、木马)。