亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

木馬病毒的識(shí)別與消除方法(上)
2007-10-08   網(wǎng)絡(luò)

在各種電腦病毒中,木馬類(lèi)病毒在網(wǎng)絡(luò)上比較活躍,而且會(huì)經(jīng)常給人們帶來(lái)危害。在這里,我們向讀者介紹一些常見(jiàn)木馬類(lèi)病毒的識(shí)別和清除方法,供網(wǎng)管員們?cè)趯?shí)踐中參考。同時(shí),也希望網(wǎng)管員們推薦一些根除其他病毒的有效方法。

1.廣外女生

“廣外女生”木馬是2001年的十大木馬之一,其可怕之處在于“廣外女生”預(yù)備端被執(zhí)行后,會(huì)每隔5分鐘自動(dòng)進(jìn)行一次進(jìn)程檢查,看是否含有“金山毒霸”、“防火墻”、“iparmor”、“tcmonitor”、“實(shí)時(shí)監(jiān)控”、“l(fā)ockdown”、“kill”、“天網(wǎng)”等字樣的進(jìn)程。如果發(fā)現(xiàn)就將該進(jìn)程終止,這使得大家最常用的各種病毒防火墻、網(wǎng)絡(luò)防火墻不能運(yùn)行與監(jiān)控。即便發(fā)現(xiàn)了該病毒的存在,也很難使用殺毒軟件來(lái)進(jìn)行查殺,因?yàn)闅⒍拒浖闅⑿枰罅康臅r(shí)間,在這個(gè)時(shí)間內(nèi)往往就被終止了進(jìn)程。而且這個(gè)木馬還有一個(gè)讓人難以處理之處,即如果手工刪除了這個(gè)程序的主文件,那么所有的EXE文件都打不開(kāi)。因?yàn)樗虴XE關(guān)聯(lián)了,只要打開(kāi)一個(gè)EXE的程序,就必須先檢查它是否在運(yùn)行,如果沒(méi)有,就自動(dòng)啟動(dòng)它,然后以參數(shù)傳遞方式打開(kāi)此EXE程序。當(dāng)手工刪除之后,系統(tǒng)會(huì)找不到它,自然參數(shù)也就傳遞不了,也就不能打開(kāi)任何EXE程序。

該病毒的清除方法如下所述。

(1)使用“開(kāi)始”→“運(yùn)行”,輸入“regedit”打開(kāi)注冊(cè)表;

(2)打開(kāi)注冊(cè)表HKEY_CLASSES_Roo]_ROOT\exefile\shell\open\command值,然后繼續(xù)第三步:

(3)刪除系統(tǒng)SYSTEM目錄下面的DIAGCFG.EXE文件;

(4)修改注冊(cè)表的HKEY_CLASSES_ROOT\exefile\shell\open\command值為“%1”%*;

(5)打開(kāi)注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWAREhMicrosoft\Windows\CurrentV- ersion\RunServices,刪除其中名稱(chēng)為“Diagnostic Confignration”的鍵值;

(6)關(guān)閉注冊(cè)表。

2.AOL Trojan

要清除AOL Trojan木馬程序,請(qǐng)按照以下步驟去做。

(1)在Windows系統(tǒng)下,取消下列文件的隱藏屬性:C:americ~1.0\buddy1~1.exe和 C:\Windowsks\stem\norton~1~regist-1.exe;

(2)重新啟動(dòng)到MS-DOS模式,刪除下面兩個(gè)文件:C:americ~1.0\buddy1~1.exe和 C:\Windowsks\system\norton~1\regist~1.exe;

(3)重新啟動(dòng)到Windows系統(tǒng)下,編輯win.ini文件,在“Windows”下面“run=”和“l(fā)oad=”都具有特洛伊木馬程序的路徑,必須清除它們,使其成為:

run=

load=

修改完畢后,保存win.ini文件即可。

(4)打開(kāi)注冊(cè)表,找到目錄:HKEY_LOCAL_MACHINE\SOFTWARELMicrosoft\Windo-ws\CurrentVersion\Run,刪除右邊的WinProfile=C:\command.exe;

(5)重新啟動(dòng)到Windows系統(tǒng),就完成了AOL木馬的清除。

通過(guò)用戶(hù)名和口令保安全有局限性

由用戶(hù)名和口令實(shí)現(xiàn)安全有一定局限性。經(jīng)過(guò)仔細(xì)挑選的口令是有效果的,用戶(hù)經(jīng)常挑選非常淺顯的口令,如他們的名字、生日、電話(huà)號(hào)碼,或是寵物的名字。這些口令容易被猜測(cè)出來(lái)。在WWW服務(wù)器上,不像UNIX,在多次未成功猜測(cè)后并不會(huì)發(fā)出警告。一個(gè)頑固的黑客能通過(guò)一個(gè)口令猜測(cè)程序的方式闖進(jìn)系統(tǒng)。人們應(yīng)該對(duì)遠(yuǎn)程用戶(hù)共用他們的名字和口令而發(fā)出警告,運(yùn)用IP地址和口令限制的組合比單純運(yùn)用二者要安全得多。

另一個(gè)問(wèn)題是,口令從瀏覽器向服務(wù)器傳送時(shí)容易被截取。以任何有意義的方式都無(wú)法對(duì)其加密,所以具有一定軟件和硬件經(jīng)驗(yàn)的黑客,當(dāng)口令通過(guò)互聯(lián)網(wǎng)傳輸時(shí)可以截獲它。此外,不像一個(gè)口令在此進(jìn)程只能通過(guò)互聯(lián)網(wǎng)一次登錄,而瀏覽器每送一個(gè)口令就獲取一個(gè)被保護(hù)的文檔。當(dāng)它流過(guò)互聯(lián)網(wǎng)時(shí),黑客能容易的竊取所傳送的數(shù)據(jù)。為避免這種情況,必須對(duì)口令等數(shù)據(jù)加密。

3.聰明基因

“聰明基因”是國(guó)產(chǎn)木馬,默認(rèn)連接端口7511。“聰明基因”的突出特點(diǎn)是采用了HTM文件圖標(biāo),而且當(dāng)用戶(hù)打開(kāi)它時(shí),還會(huì)自動(dòng)調(diào)用IE,然后打開(kāi)一個(gè)它在后臺(tái)生成的文件。它采取的是和幫助關(guān)聯(lián)的方式。下面介紹手動(dòng)清除方法。

(1)刪除C:\Windows下的MBBManager.exe和Explore32.exe,再刪除C:\Windows\ system下的editor.exe文件。如果服務(wù)端已經(jīng)運(yùn)行,則使用進(jìn)程管理軟件終止MBBManager.exe進(jìn)程,然后在Windows下將它刪除,也可到DOS下刪除MBBManager.exe,而editor.exe在 Windows下可直接刪除。

(2)展開(kāi)注冊(cè)表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current- Version\Run下,刪除串值“MainBmad BackManager”,其鍵值為C:\Windows\MBBM- anager.exe,每次在開(kāi)機(jī)時(shí)就被加載運(yùn)行,因此刪掉它。

(3)恢復(fù)TXT文件關(guān)聯(lián)“聰明基因”,將注冊(cè)表HKEY_CLASSES_ROOT\txtfile\sh- ell\open\command下的默認(rèn)鍵值由C:\Windows\LNOTEPAD.EXE%1改為C:\Windows\syst- em\editor.exe%1,因此要恢復(fù)成原值。

同理,到注冊(cè)表的HKEY_LOCAL_MACHINE\Software\CLASS\txtfile\shell\open\com-mand下,將默認(rèn)鍵值由C:\Windows\system\editor.exe%/1改回到C:\WindowsLNOTEPAD.EXE%1,這樣就將TXT文件關(guān)聯(lián)恢復(fù)過(guò)來(lái)了。

4.Acid Shiver v1.0+1.0Mod+imacid

清除Acid Shiver木馬的過(guò)程有些復(fù)雜,可以按照以下的步驟進(jìn)行清除。

(1)重新啟動(dòng)到DOS模式,刪除C:\Windows\wintour.exe文件;

(2)再重新啟動(dòng)到Windows系統(tǒng),打開(kāi)注冊(cè)表,找到目錄:HKEY_LOCAL_MACH- INE\SOFTWAREkMicmsoft\Windows\CurrentVersionhRun,刪除右邊的Explorer=-“C:\Windo-ws\MSGSVR16.EXE”,找到目錄:HKEY_LOCAL_MACHINE\SOFTWAREhMicrosoff\Windo-ws\CurrentVersion\RunServices,刪除右邊的Explorer=“C:\Windows\MSGSVR16.EXE”;

(3)重新啟動(dòng)到DOS模式,刪除C:\Windows\wintour.exe,然后回到Windows系統(tǒng);

(4)打開(kāi)注冊(cè)表,找到目錄:HKEY LOCAL_MACHINE\SOFTWARELMicmsoft\Win- dows\CurrentVersion\Run,刪除右邊的Wintour=“C:\Windows\WINTOUR.EXE”,找到目錄: HKEY_LOCAL MACHINE\SOFTWAREkMicrosoft\Windows\CurrentVersion\RunServices,刪除右邊的Wintour=“C:\Windows\WINTOUR.EXE”;

(5)重新啟動(dòng)Windows系統(tǒng)。

5.GOP

    GOP是Get OICQ Password的縮寫(xiě),從這個(gè)名字我們就可以看出,這是一個(gè)獲取別人OICQ(現(xiàn)在應(yīng)該稱(chēng)為QQ)密碼的木馬軟件。用手工進(jìn)行清除的辦法如下所述。

(1)在注冊(cè)表里找到HKEY_LOCAL_MACHINE\SOFFWARE\Microsofi\Windows\Curr- entVersionLRun刪除“C:\winnt\system32\kerne132.exe”的主鍵;

(2)立即重啟系統(tǒng),重啟后馬上查找IMEKerne132.sys這個(gè)文件,打到后刪除這個(gè)文件。

熱詞搜索:

上一篇:用SQL SelWel 2000管理ISA Server的活動(dòng)記錄
下一篇:木馬病毒的識(shí)別與消除方法(中)

分享到: 收藏