前面有寫過一篇有效防禦計算機病毒的步驟的文章,相信不少關注免費部落的朋友還很清楚,裡面就一些常見病毒的清除方法.由於很多新手對安全問題了解不多,所以並不知道自己的計算機中了“木馬”該怎麼樣清除。雖然現在市面上有很多新版殺毒軟件都可以自動清除“木馬”,但它們並不能防範新出現的“木馬”程序,因此最關鍵的還是要知道“木馬”的工作原理,這樣就會很容易發現“木馬”。相信你看了這篇文章之後,就會成為一名查殺“木馬”的高手了。
“木馬”程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“系統服務”可以很輕鬆地偽裝自己。 當然它也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊“木馬”圖標來運行服務端,,“木馬”會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、註冊表等等都是“木馬”藏身的好地方。下面具體談談“木馬”是怎樣自動加載的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那麼後面跟著的那個程序就是“木馬”程序,就是說你已經中“木馬”了。
在註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這裡切記:有的“木馬”程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如“Acid Battery v1.0木馬”,它將註冊表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 鍵值改為Explorer=“C:WINDOWSexpiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。
當然在註冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程序的文件名,再在整個註冊表中搜索即可。
知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發現有“木馬”存在,最安全也是最有效的方法就是馬上將計算機與網絡斷開,防止黑客通過網絡對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,“run=“木馬”程序”或“load=“木馬”程序”更改為“run=”和“load=”;編輯system.ini文件,將[BOOT]下面的“shell=‘木馬’文件”,更改為:“shell=explorer.exe”;在註冊表中,用regedit對註冊表進行編輯,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程序的文件名,再在整個註冊表中搜索並替換掉“木馬”程序,有時候還需注意的是:有的“木馬”程序並不是直接將“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木馬”鍵值刪除就行了,因為有的“木馬”如:BladeRunner“木馬”,如果你刪除它,“木馬”會立即自動加上,你需要的是記下“木馬”的名字與目錄,然後退回到MS-DOS下,找到此“木馬”文件並刪除掉。重新啟動計算機,然後再到註冊表中將所有“木馬”文件的鍵值刪除。至此,我們就大功告成了。
2006年上半年十大病毒防治辦法如下:
一、灰鴿子
Backdoor/Huigezi.**“灰鴿子”是一個未經授權遠程訪問用戶計算機的後門。以“灰鴿子”變種cm為例,該變種運行後,會自我複製到系統目錄下。修改註冊表,實現開機自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載並執行特定文件,發送用戶機密信息給黑客等。
解決辦法:
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:運行REGEDIT命令打開註冊表編輯器,定位到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\GrayPigeonServer ,將該鍵值刪除,然後進入 X:\windows(X:代表系統盤),設置顯示所有文件(或顯示隱藏文件),找到G_server.exe和G_server.dll以及G_server_hook.dll三個文件,正常模式下,無法刪除這三個文件,通過重啟電腦到安全模式下或使用第三方強力刪除工具將三個文件刪除。江民未知病毒檢測有效清除病毒文件。
二、傳奇竊賊
傳奇竊賊是專門竊取網絡遊戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行後,主程序文件自己複製到系統目錄下。修改註冊表,實現開機自啟。終止某些防火牆、殺毒軟件進程。病毒進程被終止後,會自動重啟。竊取“傳奇2”帳號密碼,並將盜取的信息發送給黑客。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在系統文件夾裡面找到logo1_.exek文件並將其刪除。
三、高波和瑞波
高波: Backdoor/Agobot.** “高波”主要利用網絡弱密碼共享進行傳播的後門程序。該後門程序還可利用微軟DCOM RPC漏洞提升權限,允許黑客利用IRC通道遠程進入用戶計算機。該程序運行後,程序文件自我複製到系統目錄下,並修改註冊表,以實現程序的開機自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道,偵聽黑客指令。
瑞波:該病毒經過多層壓縮加密殼處理,可以利用多種系統漏洞進行傳播,感染能力很強。中毒計算機將被黑客完全控制,成為”殭屍電腦”。由於此病毒會掃描感染目標,因此可以造成局域網擁堵。
高波:
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、高波手工清除:打好微軟MS03-007、MS03-026、MS04-011、MS04-031補丁,在系統目錄下找到病毒文件名為Medman.exe,並將其刪除。
瑞波手工清除:在系統目錄下找到病毒文件msxml32.exe,在註冊表中找到鍵值msxml32.exe,將其刪除。打上微軟MS03-007、MS03-026、MS04-011、MS04-031四個漏洞補丁。
四、CHM木馬
CHM木馬利用IE瀏覽器MHTML跨安全區腳本執行漏洞(MS03-014)的惡意網頁腳本,自從2003年以來,一直是國內最為流行的種植網頁木馬的惡意代碼類型,2005年下半年,氾濫趨勢稍有減弱,2006年上半年的感染數量仍然很大,沒有短期內消亡的跡象。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工防治:打上微軟MS03-014和MS04-023系統漏洞補丁,找到以下病毒和配置文件並將其刪除:
%SystemDir%\dllcache\pk.bin, 3680字節,病毒配置文件%SystemDir%\dllcache\phantom.exe, 393216字節,病毒程序%SystemDir%\dllcache\kw.dat, 803字節,病毒配置文件%SystemDir%\dllcache\phantomhk.dll, 8704字節,病毒模塊%SystemDir%\dllcache\phantomi.dll, 215040字節,病毒模塊%SystemDir%\dllcache\phantomwb.dll, 40960字節,病毒模塊
在註冊表中定位到鍵值,並將該鍵值刪除。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“Phantom” = %SystemDir%\dllcache\phantom.exe關於註冊表,在部落裡也有一些文章,您如果不知道如何操作,可以參考系統註冊表修改操作教程這一篇文章.