查看: 2991|回复: 3
收起左侧

看清木马藏身地 学会通用排查技术

[复制链接]
周杰伦
发表于 2007-1-8 15:20:50 | 显示全部楼层 |阅读模式
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。   ●在Win.ini中启动木马:
  在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
  run=C:\Windows ile.exe load=C:\Windows ile.exe
  则这个file.exe很有可能就是木马程序。
  ●在Windows XP注册表中修改文件关联:
  修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:\Windows otepad.exe %1”修改为“C:\WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
  对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
  ●在Windows XP系统中捆绑木马文件:
  实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
  关闭注册表,打开C:\Autoexec.bat文件,删除如下两行:
  @echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items Del c:\win.reg
  保存并关闭Autoexec.exe文件。
  ●IndocTrination v0.1-v0.11注册表清除实例:
  在注册表中打开如下子键:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
  将这些子键右边窗口中的如下键值项删除:
  Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:\WindowsSystemmsgserv16.exe文件。
  ●SubSeven-Introduction v1.8注册表清除实例:
  打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的键值项数据,将它删除。
  打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
  打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:\Windowskernel16.dl文件。
  ●广外女生注册表清除实例:
  退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
  回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
  回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
  ●Netbull(网络公牛)注册表清除实例:
  该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
  在这些子键下删除键值项“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
  另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。
  ●聪明基因注册表清除实例:
  删除C:\Windows下的MBBManager.exe和Explore32.exe,再删除C:\WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
  打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:\WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:\Windowswinhlp32.exe %1”,恢复hlp文件关联。
  以上是一些比较典型的手动清除特洛伊木马操作步骤,希望大家能在动手的过程中得到启发,慢慢摸索木马的藏身和激活规律,以达到以不变应万变的境地。

[ 本帖最后由 ALEXBLAIR 于 2007-1-8 18:27 编辑 ]
cxcx3
发表于 2007-1-8 23:48:01 | 显示全部楼层
好帖  虽然麻烦
忘了
发表于 2007-7-10 11:30:15 | 显示全部楼层
学习,记号,谢楼主
magic659117852
发表于 2007-7-10 11:44:55 | 显示全部楼层
都是N前网上流行的老木马,,,,

目前来说看SRE日志还是比较可靠的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:20 , Processed in 0.125087 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表