常见木马
七:常见的木马
1网络公牛(Netbull)
网络公牛是国产木马,默认连接端口23444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:/WINDOWS/SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:
win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:
1.删除网络公牛的自启动程序C:/WINDOWS/SYSTEM/CheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:
3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
2冰河
我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sy***plr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sy***plr.exe就会被激活,它将再次生成Kernel32.exe。
清除方法:
1.删除C:/Windows/system下的Kernel32.exe和Sy***plr.exe文件;
2.冰河会在注册表HKEY_LOCAL_ MACHIN
E/software/microsoft/windows/ CurrentVersion/Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它;3.在注册表的HKEY_LOCAL_ MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除;
4.最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由表中木马后的C:/windows/system/Sy***plr.exe %1改为正常的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。
3网络神偷(Nethief)
网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢?与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。
清除方法:
1.网络神偷会在注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下建立键值“internet”,其值为“internet.exe /s”,将键值删除;
2.删除其自启动程序C:/WINDOWS/SYSTEM/INTERNET.EXE。
4广外女生
“广外女生”是是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!
清除方法:
1.启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;
2.我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;
3.回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);
4.找到HKEY_CLASSES_ROOT/exefile/shell/open/command,将其默认键值改成"%1" %*;
5.删除注册表中名称为“Diagnostic Configuration”的键值;
6.关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
5:黑洞2004
黑洞2001是国产木马程序,它是黑洞2000的升级版本。在这个版本中作者加入了一些新的功能和特性,最最可怕之处就是它的进程监控功能。实际上,在黑洞2000中就已经有了这个功能,但黑洞2000只能监控“天网”一个进程,黑洞2001却能同时对多进程进行监控!下面让我们一起来了解一下黑洞2001。
黑洞2001下载解压后只有一个文件s_client.exe,它是监控端执行程序,用于监控远程计算机,大小807,424字节。有经验的朋友可能要问了,怎么只有一个监控端文件?它的服务端呢?哈哈,问得好!黑洞2001的服务端隐藏在客户端程序中,只要你运行s_client.exe(如图1),点其中的“生成服务端文件”即可生成一个服务端文件,生成的服务端文件名为S_Server.exe,大小397,632字节。服务端的图标是普通文件夹所用的图标,如果你下载了这个服务端,并且你的系统设置为“隐藏已知文件类型的扩展名”,这时服务端看起来就是一个普通的文件夹(如图2),当你好奇的点击,打算进入看看有什么文件在其中时,潘多拉的盒子打开了!噩梦由此开始!
黑洞2001服务端被执行后,会在c:/windows/system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心了,这是个可执行文件,可不是文件夹哦;另一个文件是windows.exe,大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马被暂时删除;当你运行了任何文本文件,隐蔽的S_Server.exe木马文件就又被激活了,于是它再次生成windows.exe文件,即木马又被种入!这也就是这种文件关联木马难以清除的一个原因。要说明的是,黑洞2001允许控制端用户自由定制安装后的木马文件名和所使用的端口,因此如果中了黑洞2001,那么你看到的文件名完全可能与此不同,木马连接端口也可能不是2001,关联的文件也可以是EXE、ZIP等文件。本文是按其默认服务端配置来讲的(以下所说皆如此)。
修改文件关联是国产木马常用手段,黑洞2001也不例外(令人惊讶的是老外的木马大都没有这个功能,从这个角度来说还是我们中国人更聪明、更……呵呵)。我们来看看黑洞2001躲在注册表的什么对方。
用来每次开机就运行的windows.exe隐藏在注册表的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/
CurrentVersion/RunServices下;
用来关联TXT文件的S_Server.exe躲在HKEY_CLASSES_ROOT/txtfile/shell/open/command和HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command下,它将系统默认值由C:/WINDOWS/NOTEPAD.EXE %1改为了S_SERVER.EXE %1,请大家注意,就是在这里黑洞2001改变了TXT文件打开方式,因此就算你删除了windows.exe这个文件,但当你打开TXT文件时,那个可怕的“幽灵”又回来了——它再次生成windows.exe,演绎了一场经典的“人鬼情未了”大戏。在注册表的HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE/Software/CLASSES下,黑洞2001还建立了一个主键Winvxd,记载了一些经过加密的server配置信息,如Password、Runkey、Runkeyname、Smpt、Email等信息,这些信息不起控制作用,可以不用管它
网友评论