(一):启动
2002年07月19日 16:02 计算机世界网
广告
推荐 · 金山毒霸2005正式版 杀毒免费立刻下载
在使用计算机的过程中您可能遇到过如下情况: 计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁……这些不正常现象表明: 您的计算机中了木马病毒。
木马的全称是“特洛依木马”,它们一般以寻后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在去年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。著名的“红代码”和前不久出现的“坏透了”病毒都属于木马病毒。木马是一种破坏力十分强的黑客工具,那么如何检测木马的存在,并彻底清除它们呢?下面介绍几种防范和清除手段。
怎么显示文件的扩展名
方法 通过启动方式
由于木马的隐蔽性非常强,在电脑开机的时候一般都会自动加载,在启动之后大部分还会更改文件名,因此从Windows系统自动加载文件的方式入手来分析木马的存在并清除就很有意义。木马自动加载的方法和存放的位置比较多,下面结合具体的实例来分析木马的启动并提出常见的木马清除方法。
1.从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始->;程序->;启动”处,在Win98资源管理器里的位置是“C:windowsstart menuprograms启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerShell Folders
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionexplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionexplorerShell Folders
通过这种方式实现木马自动加载时,如果是在Win98系统下还可以直接运行Msconfig命令在“启动”处查看,下边将要涉及的system.ini、win.ini、autoexec.bat等文件也都可以用这个命令来查看。 通过菜单启动最典型的木马例子是“
求职信” (W97M_Resume.A)病毒,这种新病毒
除了试图自动发出邮件实现连环感染之外,还会删除磁盘中的全部文件,带这种病毒的信件标题为:Resume-Janet Simons,带有附件Explorer.doc,用户一旦执行附加文件,即会遭到病毒传染。如果将其手工清除,除了需要删除该病毒文件之外,还需要做以下工作:(1)检查c:DATAnormal.dot,直接删除该文件。
(2)如果 C:windowsstartmenuprograms
startup目录下有explorer.doc这个文件,删除它。
2. 通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文
件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中windows节 的“ ,”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情况下是“”(Windows系统的图形界面命令解释器)。如果此处修改成其他的可执行文件就可以实现木马的加载,例如“妖之吻”病毒,电脑每次启动后就自动运行程序,修改的方法是编辑 system.ini,将“”还原为“”就可以了。
前不久发生的TROJ_BADTRANS.A病毒,也是通过E-mail传递的,它能将木马种到用户的计算机中以窃取用户的资料,会更新win.ini以便在下一次重新开机时执行。执行清除的步骤如下:
(1)在DOS命令行中输入win.ini并运行。
(2)将win.ini文本文件中:RUN=“C:%WINDIR%INETD.EXE”这行删除,仅保留“run=”。
(3)启动病毒查杀软件,将查出的带有TROJ_BADTRANS.A病毒的文件删除 。
3. 通过在注册表中实现。木马只要被加载,尽管有可能会隐藏得比较好,但一般都会在注册表中留下痕迹。一般来说,木马在注册表中自动加载的实现是在HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersion下的RunServices、RunServicesOnce、Run、RunOnce等子键,以及 HKEY_CURRENT_USERSoftware
MicrosoftWindowsCurrentVersion下的Run、RunOnce、RunServices等子键处。
此外在注册表中的HKEY_CLASSES_ROOT
exefileshellopencommand=““%1” %*”处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的改成了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。 TROJ_NAVIDAD.A就是通过上述方式启动的,它以E-mail夹带附件“NAVIDAD.EXE”进行散播。如果执行该附件,电脑就会中毒,该病毒会将自己转发给电脑通讯录里所有的好友名单,并修改Windows的注册表。这种
方式的木马如果手工清除,步骤如下:
(1)键入DOS命令以重新命名rege
<为 regedit(本步骤可选)。
(2)运行注册表程序,到下列键值 :
HKEY_CLASSES_ROOT exefileshellopencommand。
(3)在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”%*” where %windir%”中““%1”%*”以外部分删除。
(4)同步骤 2,进入以下注册表的值:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun。
(5)选择Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ,并删除。
(6)进入DOS模式,重新命名regedit为 。
(7)用查毒软件在硬盘上查所有含TROJ_
NAVIDAD.A病毒的文件,不管是否为隐含文件,一律删除。
4. 通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容: NUL=,该语句
将 发往 NUL, 这就意味着原来的文件已经被删除,因此它运行起来就格外隐蔽。
5. Autoexec.bat。这是木马在DOS模式下每次自动加载的方法,例如恋爱配对病毒转寄的邮件主题为“Matcher”,而附件文件名则为“matcher.EXE”。手工清除该木马可以按照如下步骤进行:
(1)执行regedit命令并将HKEY_LOCAL_
MACHINESoftwareMicrosoftWindows
CurrentVersionRun的值“C:%”删除。
(2)打开autoexec.bat文件 ,将下列内容删除并存盘:
echo off
echo from: Bugger
pause
(3)在电脑上用查毒软件查带有troj_macher.a病毒的文件并将其删除。
6. 利用Explorer来加载文件。在Windows 95/98和Windows ME系统中,Explorer作为Windows图形界面的命令解释器,每次在系统启动时加载,的加载是通过system.ini文件来进行的。system.ini文件在配置中本身没有提供路径信息,因此如果 存在,那么将直接运行它,否则就会去执行 c:$。而对于Windows NT/2000系统来说,首先要“请示”Windows的注册表 HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell来决定Windows管理系统必须加载的文件名,在缺省情况下 ,这个加载的文件就是 。
一般情况下,如果木马安装在 c:explorer下,就不需要任何的键值和开始程序。如果是一个被绑定或者异常的文件,由于系统开始就会首先
加载这个文件,因此用户就可能被感染。
7. 隐藏文件后缀名。在Windows系统注册表中的HKEY_LOCAL_MACHINESoftware
CLA
SSESShellScrap下有一个键的名称是“NeverShowExt”,此处NeverShowExt键的主要功能就是隐藏真正的文件后缀名。一个文件名为“Girl.jpg.shs”的文件,很可能在所有的程序中显示为“Girl.jpg”,甚至包
括在explorer中。如果注册表中包含NeverShowExt这样的键值,简单的方法就是删除这个键值以便显示所有真正的文件后缀名,这样就防止了木马改名的可能性。
需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。
木马病毒的检测、清除及其预防(二):进程
2002年07月19日 16:08 计算机世界网
广告
推荐 · 金山毒霸2005正式版 杀毒免费立刻下载
方法 通过网络连接或者系统进程
1.通过网络连接
由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。
一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat -a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
2.通过系统进程
木马即使再狡猾,它也是一个活动着的应用程序,一经运行,它就时刻驻留在电脑系统的内存中,通过查看系统进程可发现可疑进程,并以此来推断木马的存在。
在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。
在Win98下,查进程的方法不那么方便,但有一些查进程的工具可供使用,下面是比较著名的两款工具,一个是Prcview,它非常小巧,不到90KB,功能却很强大,是一个免费的绿软件,它的下载地址为:ln.skycn/down/PrcView.zip。另外一款工具名为winproc,功能也比较齐全,下载地点:www.apchwin。这两款软件的使用很容易,这里不做详细介绍。
通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候眼睛
一定要擦亮,不过木马总是可以通过这种方法被检测出来的
木马病毒的检测、清除及其预防(三):杀毒
2002年07月19日 16:10 计算机世界网
广告
推
荐 · 金山毒霸2005正式版 杀毒免费立刻下载
方法 直接使用杀毒软件
上面介绍的方法都是手工方式来检测或者清除木马,但一般情况下木马没有那么容易就能发现,好在已经有了不少的反木马软件。查杀木较有效的软件主要有以下几类,简单介绍如下:
1. 常用的杀病毒工具软件。木马从某种意义上来说也是一种病毒,我们常用的病毒防护软件也都可以实现对木马的查杀,这些病毒防护软件包括KV3000,Kill3000、瑞星等,这类软件查杀其他病毒很有效,对木马的检查也比较成功,但彻底地清除不很理想,因为一般情况下木马在电脑每次启动时都会
自动加载,而杀病毒软件却不能完全清除木马文件,总的说来,杀病毒软件作为防止木马的入侵来说更有效。
2. 常用的网络防火墙软件。现在的网络防火墙软件比较多,常见的如国外的Lockdown,国内的天网、金山网镖等。以“天网防火墙个人版”为例,防火墙启动之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显示出对方的IP地址、接入端口等提示信息,通过手工设置之后即可使对方无法进行攻击。
利用防火墙来实现对木马的查杀,只能检测发现木马并加以预防攻击,但不能彻底清除它。
3. 专用的木马查杀软件。我们对木马不能只采用防范手段,还要将其斩草除根、彻底地清除,专用的木马查杀软件一般都带有这些特性,这类软件目前也比较多,比如:The Cleaner、木马克星、木马终结者等
木马病毒的检测、清除及其预防(四):预防
2002年07月19日 16:12 计算机世界网
广告
推荐 · 金山毒霸2005正式版 杀毒免费立刻下载
方法 预防
随着网络的普及,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。
1. 不要执行任何来历不明的软件
很多木马病毒都是通过绑定在其他的软件中来实现传播的,一旦运行了这个被绑定的软件就会被感染,因此在下载软件的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒后再使用。
2. 不要随意打开邮件附件
现在绝大部分木马病毒都是通过邮件来
发布评论