木马综述篇：通通透透看木马

网站地图	RSS订阅
高级搜索	收藏本站

当前位置: Home > 木马 > 文章

木马综述篇：通通透透看木马

文章来源: yesky 文章作者: 王达 发布时间: 2001-10-14 字体: [大中小]

　　如果因工作等其它原因必需设置成共享，则最好单独开一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要系统目录设置成共享！

　　11、给电子邮件加密

　　为了确保你的邮件不被其它人看到，同时也为了防止黑客们的攻击，至于电子邮件的加密请参考《令电子邮件安全传递的方法－PGP签名》一文，在那篇文章中向大家推荐了一款加密专家——PGP，相信它一定不会让你失望的！

　　12、隐藏IP地址

　　这一点非常重要！！你上网时最好用一些工具软件隐藏你的电脑的IP地址，如使用ICQ，就进入“ICQMenu\Securi-ty&Privacy”，把“IP Publishing”下面的“Do not Publish IP ad-dress”选项上。

　　13、运行反木马实时监控程序

　　最后，好是最重要的一点就是你在上网时必需运行你的反木马实时监控程序，如、the cleaner，它的实时监控程序TCA，可即时显示当前所有运行程序并有详细的描述信息，加外如加上一些专业的最新杀毒软件、个人防火墙进行监控那更是放心了，当然这要你的爱机够档次才行，你说呢？

　　几款常见木马病毒的清除

　　为了方便大家及时快捷地查杀你电脑中的现有木马，现向大家介绍几款木马病毒的查杀方法。

　　1.Back Orifice(BO)

　　只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices中有无.exe键值。如有，则将其删除，并进入MS-DOS方式，将\Windows\System中的.exe文件删除（可运用开始菜单中的“搜索”程序帮助你进行查找这一文件）。

　　2.Back Orifice 2000(BO2000)

　　只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中有无Umgr32.exe的键值，如有，则将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。

　　3.Netspy

　　检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有无键值Spynotify.exe和Netspy.exe。如有将其删除，重新启动电脑后将\Windows\System中的相应文件删除。

　　4.Happy99

　　此程序首次运行时，会在荧幕上开启一个名为“Happy new year1999”的窗口，显示美丽的烟花，此时该程序就会将自身复制到Windows95/98的System目录下，更名为Ska.exe，创建文件Ska.dll，并修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。

　　用户可以检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce中有无键值Ska.exe。如有，将其删除，并删除\Windows\System中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。

　　5.Picture

　　检查Win.ini系统配置文件中“load=”是否指向一个可疑程序，清除该项。重新启动电脑，将指向的程序删除即可。

　　6.Netbus

　　用“Netstat -an”查看12345端口是否开启，在注册表相应位置中是否有可疑文件。首先清除注册表中的Netbus的主键，然后重新启动电脑，删除可执行文件即可。

　　7、冰河

　　用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要打开它们的隐藏、只读属性，方法是键入如下命令：Attrib a h r kernel32.exe或sysexplr.exe即可。

　　删除后进入windows系统进入注册表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]两项，然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe %1”，如是改回"notepad.exe %1” 。

　　8、Asylum

　　这个木马程序是修改了system.ini win.ini两个文件，先查一下system.ini文件下面的[BOOT]贡，看看"shell=explorer.exe”，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件，看在[windows]项下的"run=”是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。

　　(参考链接: http://dayoo.yesky.com/280/200780.shtml)