保存桌面快捷方式 - - 设为首页 - 手机版
凹丫丫旗下网站:四字成语大全 - 故事大全 - 范文大全
您现在的位置: 范文大全 >> 商务管理论文 >> 电子商务论文 >> 正文

九种流行木马的发现和清除


%1改为C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。

  好了,可以和聪明基因说“再见”了!

    黑洞2001

  黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。

  黑洞2001服务端被执行后,会在c:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!

  清除方法:

  1)、将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1

  2)、将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1

  3)、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows删除。

  4)、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。   

  5)、到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。

  至此就安全的清除黑洞2001了。

    Netspy(网络精灵)

  Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。

  清除方法:

  1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe 回车!

  2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\,删除Netspy的键值即可安全清除Netspy。

  SubSeven

  SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。

  清除方法:

  1、打开注册表Regedit,点击至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器="c:\windows\system\***"。注:加载器和文件名是随意改变的

  2、打开win.ini文件,检

查“run=”后有没有加上某个可执行文件名,如有则删除之。

  3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。

  4、重新启动Windows,删除相对应的木马程序,一般在c:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。


《九种流行木马的发现和清除(第3页)》
本文链接地址:http://www.oyaya.net/fanwen/view/111523.html

  • 上一篇范文: 电子商务中的安全问题
  • 下一篇范文: 网络安全市场分析

  • ★温馨提示:你可以返回到 电子商务论文 也可以利用本站页顶的站内搜索功能查找你想要的文章。