九種流行木馬的發(fā)現(xiàn)和清除

 網(wǎng)絡(luò)公牛（Netbull）

　　網(wǎng)絡(luò)公牛又名Netbull，是國產(chǎn)木馬，默認(rèn)連接端口23444，最新版本V1.1。服務(wù)端程序newserver.exe運(yùn)行后，會自動脫殼成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次開機(jī)checkdll.exe將自動運(yùn)行，因此很隱蔽、危害很大。同時，服務(wù)端運(yùn)行后會自動捆綁以下文件:

　　win9x下：捆綁notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe；

　　winnt/2000下：(在2000下會出現(xiàn)文件改動報(bào)警,但也不能阻止以下文件的捆綁)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

　　服務(wù)端運(yùn)行后還會捆綁在開機(jī)時自動運(yùn)行的第三方軟件(如:realplay.exe、QQ、ICQ等)上。在注冊表中網(wǎng)絡(luò)公牛也悄悄地扎下了根，如下：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=

　　"C:\WINDOWS\SYSTEM\CheckDll.exe"

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices]

　　"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"

　　[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=

　　"C:\WINDOWS\SYSTEM\CheckDll.exe"

　　在我看來，網(wǎng)絡(luò)公牛是最討厭的了。它沒有采用文件關(guān)聯(lián)功能，采用的是文件捆綁功能，和上面所列出的文件捆綁在一塊，要清除非常困難！你可能要問：那么其它木馬為什么不用這個功能？哈哈，其實(shí)采用捆綁方式的木馬還有很多，并且這樣做也有個缺點(diǎn)：容易暴露自己！只要是稍微有經(jīng)驗(yàn)的用戶，就會發(fā)現(xiàn)文件長度發(fā)生了變化，從而懷疑自己中了木馬。

　　清除方法：

　　1、刪除網(wǎng)絡(luò)公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。

　　2、把網(wǎng)絡(luò)公牛在注冊表中所建立的鍵值全部刪除（上面所列出的那些鍵值全部刪除） 。

　　3、檢查上面列出的文件，如果發(fā)現(xiàn)文件長度發(fā)生變化（大約增加了40K左右，可以通過與其它機(jī)子上的正常文件比較而知），就刪除它們！然后點(diǎn)擊“開始－>附件－>系統(tǒng)工具－>系統(tǒng)信息－>工具－>系統(tǒng)文件檢查器”，在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”，在框中填入要提取的文件(前面你刪除的文件)，點(diǎn)“確定”按鈕，然后按屏幕提示將這些文件恢復(fù)即可。如果是開機(jī)時自動運(yùn)行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了，那就得把這些文件刪除，再重新安裝。

    網(wǎng)絡(luò)神偷（Nethief）

　　網(wǎng)絡(luò)神偷又名Nethief，是第一個反彈端口型木馬！

　　什么叫“反彈端口”型木馬呢？作者經(jīng)過分析防火墻的特性后發(fā)現(xiàn)：大多數(shù)的防火墻對于由外面連入本機(jī)的連接往往會進(jìn)行非常嚴(yán)格的過濾，但是對于由本機(jī)連出的連接卻疏于防范（當(dāng)然也有的防火墻兩方面都很嚴(yán)格）。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，當(dāng)要建立連接時，由客戶端通過FTP主頁空間告訴服務(wù)端：“現(xiàn)在開始連接我吧！”，并進(jìn)入監(jiān)聽狀態(tài)，服務(wù)端收到通知后，就會開始連接客戶端。為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似“TCP　服務(wù)端的IP地址:1026　客戶端的IP地址:80 。 ESTABLISHED”的情況，稍微疏忽一點(diǎn)你就會以為是自己在瀏覽網(wǎng)頁。防火墻也會如此認(rèn)為，我想大概沒有哪個防火墻會不給用戶向外連接80端口吧。

　　嘿嘿。最新線報(bào)：目前國內(nèi)木馬高手正在大規(guī)模試驗(yàn)(使用)該木馬，網(wǎng)絡(luò)神偷已經(jīng)開始流行！中木馬者也日益增多，大家要小心哦！

　　清除方法：

　　1、網(wǎng)絡(luò)神偷會在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立鍵值“internet”，其值為"internet.exe /s"，將鍵值刪除；

　　2、刪除其自啟動程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

　　OK，神偷完蛋了！

     WAY2.4（火鳳凰、無賴小子）

　　WAY2.4又稱火鳳凰、無賴小子，是國產(chǎn)木馬程序，默認(rèn)連接端口是8011。眾多木馬高手在介紹這個木馬時都對其強(qiáng)大的注冊表操控功能贊不絕口，也正因?yàn)槿绱怂鼘ξ覀兊耐�脅就更大了。從我的試驗(yàn)情況來看，WAY2.4的注冊表操作的確有特色，對受控端注冊表的讀寫，就和本地注冊表讀寫一樣方便！這一點(diǎn)可比大家熟悉的冰河強(qiáng)多了，冰河的注冊表操作沒有這么直觀--每次我都得一個字符、一個字符的敲擊出來，WAY2.4在注冊表操控方面可以說是木馬老大。

　　WAY2.4服務(wù)端被運(yùn)行后在C:\windows\system下生成msgsvc.exe文件，圖標(biāo)是文本文件的圖標(biāo)，很隱蔽，文件大小235,008字節(jié)，文件修改時間1998年5月30日，看來它想冒充系統(tǒng)文件msgsvc32.exe。同時，WAY2.4在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其鍵值為C:\WINDOWS\SYSTEM\msgsvc.exe。此時如果用進(jìn)程管理工具查看，你會發(fā)現(xiàn)進(jìn)程C:\windows\system\msgsvc.exe赫然在列！

　　清除方法：

　　要清除WAY，只要刪除它在注冊表中的鍵值，再刪除C:\windows\system下的msgsvc.exe這個文件就可以了。要注意在Windows下直接刪除msgsvc.exe是刪不掉的，此時你可以用進(jìn)程管理工具終止它的進(jìn)程，然后再刪除它�；蛘叩紻os下刪除msgsvc.

exe也可。如果服務(wù)端已經(jīng)和可執(zhí)行文件捆綁在一起了，那就只有將那個可執(zhí)行文件也刪除了！在刪除前請做好備份 。

    冰 河

　　冰河可以說是最有名的木馬了，就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它，但國內(nèi)仍有幾十萬中冰河的電腦存在！作為木馬，冰河創(chuàng)造了最多人使用、最多人中彈的奇跡！現(xiàn)在網(wǎng)上又出現(xiàn)了許多的冰河變種程序，我們這里介紹的是其標(biāo)準(zhǔn)版，掌握了如何清除標(biāo)準(zhǔn)版，再來對付變種冰河就很容易了。 　　

　　冰河的服務(wù)器端程序?yàn)镚-server.exe，客戶端程序?yàn)镚-client.exe，默認(rèn)連接端口為7626。一旦運(yùn)行G-server，那么該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動時自動加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。

　　清除方法：

　　1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

　　2、冰河會在注冊表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion

　　\Run下扎根，鍵值為C:\windows\system\Kernel32.exe，刪除它。

　　3、在注冊表的HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，還有鍵值為C:\windows\system\Kernel32.exe的，也要刪除。

　　4、最后，改注冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認(rèn)值，由中木馬后的C:\windows\system\Sysexplr.exe %1改為正常情況下的C:\windows\notepad.exe %1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。

    廣外女生

　　廣外女生是廣東外語外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的處女作，是一種新出現(xiàn)的遠(yuǎn)程監(jiān)控工具，破壞性很大，遠(yuǎn)程上傳、下載、刪除文件、修改注冊表等自然不在話下。其可怕之處在于廣外女生服務(wù)端被執(zhí)行后，會自動檢查進(jìn)程中是否含有“金山毒霸”、“防火墻”、“iparmor”、“tcmonitor”、“實(shí)時監(jiān)控”、“l(fā)ockdown”、“kill”、“天網(wǎng)”等字樣，如果發(fā)現(xiàn)就將該進(jìn)程終止，也就是說使防火墻完全失去作用！ 　　

　　該木馬程序運(yùn)行后，將會在系統(tǒng)的SYSTEM目錄下生成一份自己的拷貝，名稱為DIAGCFG.EXE，并關(guān)聯(lián).EXE文件的打開方式，如果貿(mào)然刪掉了該文件，將會導(dǎo)致系統(tǒng)所有.EXE文件無法打開的問題。

　　清除方法：

　　1、由于該木馬程序運(yùn)行時無法刪除該文件，因此啟動到純DOS模式下，找到System目錄下的DIAGFG.EXE，刪除它 。

　　2、由于DIAGCFG.EXE文件已經(jīng)被刪除了，因此在Windows環(huán)境下任何.exe文件都將無法運(yùn)行。我們找到Windows目錄中的注冊表編輯器“Regedit.exe”，將它改名為“Regedit.com”。

　　3、回到Windows模式下，運(yùn)行Windows目錄下的Regedit.com程序（就是我們剛才改名的文件）。

　　4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，將其默認(rèn)鍵值改成"%1" %*。

　　5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ RunServices，刪除其中名稱為“Diagnostic Configuration”的鍵值。

　　6、關(guān)掉注冊表編輯器，回到Windows目錄，將“Regedit.com”改回“Regedit.exe”。

　　7、完成。

    聰明基因

　　聰明基因也是國產(chǎn)木馬，默認(rèn)連接端口7511。服務(wù)端文件genueserver.exe，用的是HTM文件圖標(biāo)，如果你的系統(tǒng)設(shè)置為不顯示文件擴(kuò)展名，那么你就會以為這是個HTM文件，很容易上當(dāng)哦。客戶端文件genueclient.exe 。如果不小心運(yùn)行了服務(wù)端文件genueserver.exe，它會裝模作樣的啟動IE，讓你進(jìn)一步以為這是一個HTM文件，并且還在運(yùn)行之后生成GENUESERVER.htm文件，還是用來迷惑你的！怎么樣，是不是無所不用其極？

　　哈哈，木馬就是如此，騙你沒商量！聰明基因是文件關(guān)聯(lián)木馬，服務(wù)端運(yùn)行后會生成三個文件，分別是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，這三個文件用的都是HTM文件圖標(biāo)，如果不注意，還真會以為它們是HTM文件呢！

　　Explore32.exe用來和HLP文件關(guān)聯(lián)，MBBManager.exe用來在啟動時加載運(yùn)行，editor.exe用來和TXT文件關(guān)聯(lián)，如果你發(fā)現(xiàn)并刪除了MBBManager.exe，并不會真正清除了它。一旦你打開HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守護(hù)進(jìn)程MBBManager.exe！想清除我？沒那么容易！

　　聰明基因最可怕之處是其永久隱藏遠(yuǎn)程主機(jī)驅(qū)動器的功能，如果控制端選擇了這個功能，那么受控端可就慘了，想找回驅(qū)動器？嘿嘿，沒那么容易！

　　清除方法：

　　1.刪除文件。刪除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再刪除C:\WINDOWS\system下的editor.exe文件。如果服務(wù)端已經(jīng)運(yùn)行，那么就得用進(jìn)程管理軟件終止MBBManager.exe這個進(jìn)程，然后在windows下將它刪除。也可到純DOS下刪除MBBManager.exe，editor.exe在windows下可直接刪除。

　　2. 刪除自啟動文件。展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Mi

crosoft\Windows\CurrentVersion\Run下，刪除鍵值“MainBroad BackManager”，其值為C:\WINDOWS\MBBManager.exe，它每次在開機(jī)時就被加載運(yùn)行，因此刪之別手軟！ 　　

　　3.恢復(fù)TXT文件關(guān)聯(lián)。聰明基因?qū)⒆�冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認(rèn)鍵值由C:\WINDOWS\NOTEPAD.EXE %1改為C:\WINDOWS\system\editor.exe %1，因此要恢復(fù)成原值。同理，到注冊表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，將此時的默認(rèn)鍵值由C:\WINDOWS\system\editor.exe %1改為C:\WINDOWS\NOTEPAD.EXE %1，這樣就將TXT文件關(guān)聯(lián)恢復(fù)過來了。 　　

　　4.恢復(fù)HLP文件關(guān)聯(lián)。聰明基因?qū)⒆�冊表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默認(rèn)鍵值改為C:\WINDOWS\explore32.exe %1，因此要恢復(fù)成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注冊表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，將此時的默認(rèn)鍵值由C:\WINDOWS\explore32.exe %1改為C:\WINDOWS\WINHLP32.EXE %1，這樣就將HLP文件關(guān)聯(lián)恢復(fù)過來了。

　　好了，可以和聰明基因說“再見”了！

    黑洞2001

　　黑洞2001是國產(chǎn)木馬程序，默認(rèn)連接端口2001。黑洞的可怕之處在于它有強(qiáng)大的殺進(jìn)程功能！也就是說控制端可以隨意終止被控端的某個進(jìn)程，如果這個進(jìn)程是天網(wǎng)之類的防火墻，那么你的保護(hù)就全無了，黑客可以由此而長驅(qū)直入，在你的系統(tǒng)中肆意縱橫。

　　黑洞2001服務(wù)端被執(zhí)行后，會在c:\windows\system下生成兩個文件，一個是S_Server.exe，S_Server.exe的是服務(wù)端的直接復(fù)制，用的是文件夾的圖標(biāo)，一定要小心哦，這是個可執(zhí)行文件，可不是文件夾哦；另一個是windows.exe，文件大小為255,488字節(jié)，用的是未定義類型的圖標(biāo)。黑洞2001是典型的文件關(guān)聯(lián)木馬，windows.exe文件用來機(jī)器開機(jī)時立刻運(yùn)行，并打開默認(rèn)連接端口2001，S_Server.exe文件用來和TXT文件打開方式連起來(即關(guān)聯(lián))！當(dāng)中木馬者發(fā)現(xiàn)自己中了木馬而在DOS下把windows.exe文件刪除后，服務(wù)端就暫時被關(guān)閉，即木馬暫時刪除，當(dāng)任何文本文件被運(yùn)行時，隱蔽的S_Server.exe木馬文件就又被擊活了，于是它再次生成windows.exe文件，即木馬又被中入！

　　清除方法：

　　1)、將HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認(rèn)鍵值由S_SERVER.EXE %1改為C:\WINDOWS\NOTEPAD.EXE %1

　　2)、將HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默認(rèn)鍵值由S_SERVER.EXE %1改為C:\WINDOWS\NOTEPAD.EXE %1

　　3)、將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows刪除。

　　4)、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主鍵刪除。 　　

　　5)、到C:\WINDOWS\SYSTEM下，刪除windows.exe和S_Server.exe這兩個木馬文件。要注意的是如果已經(jīng)中了黑洞2001，那么windows.exe這個文件在windows環(huán)境下是無法直接刪除的，這時我們可以在DOS方式下將它刪除，或者用進(jìn)程管理軟件終止windows.exe這個進(jìn)程，然后再將它刪除。

　　至此就安全的清除黑洞2001了。

    Netspy（網(wǎng)絡(luò)精靈）

　　Netspy又名網(wǎng)絡(luò)精靈，是國產(chǎn)木馬，最新版本為3.0，默認(rèn)連接端口為7306。在該版本中新添加了注冊表編輯功能和瀏覽器監(jiān)控功能，客戶端現(xiàn)在可以不用NetMonitor，通過IE或Navigate就可以進(jìn)行遠(yuǎn)程監(jiān)控了！其強(qiáng)大之處絲毫不遜色于冰河和BO2000！服務(wù)端程序被執(zhí)行后，會在C:\Windows\system目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立鍵值C:\windows\system\netspy.exe，用于在系統(tǒng)啟動時自動加載運(yùn)行。

　　清除方法：

　　1、重新啟動機(jī)器并在出現(xiàn)Staring windows提示時，按F5鍵進(jìn)入命令行狀態(tài)。在C:\windows\system\目錄下輸入以下命令：del netspy.exe 回車！

　　2、進(jìn)入注冊表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，刪除Netspy的鍵值即可安全清除Netspy。

　　SubSeven

　　SubSeven的功能比起大名鼎鼎的BO2K可以說有過之而無不及。最新版為2.2(默認(rèn)連接端口27374)，服務(wù)端只有54.5k！很容易被捆綁到其它軟件而不被發(fā)現(xiàn)！最新版的金山毒霸等殺毒軟件查不到它。服務(wù)器端程序server.exe，客戶端程序subseven.exe。SubSeven服務(wù)端被執(zhí)行后，變化多端，每次啟動的進(jìn)程名都會發(fā)生變化，因此查之很難。

　　清除方法：

　　1、打開注冊表Regedit，點(diǎn)擊至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加載文件，就刪除右邊的項(xiàng)目：加載器="c:\windows\system\***"。注：加載器和文件名是隨意改變的

　　2、打開win.ini文件，檢

查“run=”后有沒有加上某個可執(zhí)行文件名，如有則刪除之。

　　3、打開system.ini文件，檢查“shell=explorer.exe”后有沒有跟某個文件，如有將它刪除。

　　4、重新啟動Windows，刪除相對應(yīng)的木馬程序，一般在c:\windows\system下，在我在本機(jī)上做實(shí)驗(yàn)時發(fā)現(xiàn)該文件名為vqpbk.exe。

【九種流行木馬的發(fā)現(xiàn)和清除】相關(guān)文章：

《夜鶯與玫瑰》和《木馬贏家》中的情歌賞析08-12

userinit病毒原理及其清除和預(yù)防方法08-12

騎木馬作文05-07

旋轉(zhuǎn)木馬作文04-30

旋轉(zhuǎn)木馬的優(yōu)秀作文12-01

旋轉(zhuǎn)木馬作文范文02-21

旋轉(zhuǎn)木馬作文【通用】12-14

旋轉(zhuǎn)木馬教學(xué)反思08-25

清除小廣告作文07-26