在各種電腦病毒中,木馬類病毒在網絡上比較活躍,而且會經常給人們帶來危害。在這里,我們向讀者介紹一些常見木馬類病毒的識別和清除方法,供網管員們在實踐中參考。同時,也希望網管員們推薦一些根除其他病毒的有效方法。
1.廣外女生
“廣外女生”木馬是2001年的十大木馬之一,其可怕之處在于“廣外女生”預備端被執行后,會每隔5分鐘自動進行一次進程檢查,看是否含有“金山毒霸”、“防火墻”、“iparmor”、“tcmonitor”、“實時監控”、“lockdown”、“kill”、“天網”等字樣的進程。如果發現就將該進程終止,這使得大家最常用的各種病毒防火墻、網絡防火墻不能運行與監控。即便發現了該病毒的存在,也很難使用殺毒軟件來進行查殺,因為殺毒軟件查殺需要大量的時間,在這個時間內往往就被終止了進程。而且這個木馬還有一個讓人難以處理之處,即如果手工刪除了這個程序的主文件,那么所有的EXE文件都打不開。因為它和EXE關聯了,只要打開一個EXE的程序,就必須先檢查它是否在運行,如果沒有,就自動啟動它,然后以參數傳遞方式打開此EXE程序。當手工刪除之后,系統會找不到它,自然參數也就傳遞不了,也就不能打開任何EXE程序。
該病毒的清除方法如下所述。
(1)使用“開始”→“運行”,輸入“regedit”打開注冊表;
(2)打開注冊表HKEY_CLASSES_Roo]_ROOT\exefile\shell\open\command值,然后繼續第三步:
(3)刪除系統SYSTEM目錄下面的DIAGCFG.EXE文件;
(4)修改注冊表的HKEY_CLASSES_ROOT\exefile\shell\open\command值為“%1”%*;
(5)打開注冊表HKEY_LOCAL_MACHINE\SOFTWAREhMicrosoft\Windows\CurrentV- ersion\RunServices,刪除其中名稱為“Diagnostic Confignration”的鍵值;
(6)關閉注冊表。
2.AOL Trojan
要清除AOL Trojan木馬程序,請按照以下步驟去做。
(1)在Windows系統下,取消下列文件的隱藏屬性:C:americ~1.0\buddy1~1.exe和 C:\Windowsks\stem\norton~1~regist-1.exe;
(2)重新啟動到MS-DOS模式,刪除下面兩個文件:C:americ~1.0\buddy1~1.exe和 C:\Windowsks\system\norton~1\regist~1.exe;
(3)重新啟動到Windows系統下,編輯win.ini文件,在“Windows”下面“run=”和“load=”都具有特洛伊木馬程序的路徑,必須清除它們,使其成為:
run=
load=
修改完畢后,保存win.ini文件即可。
(4)打開注冊表,找到目錄:HKEY_LOCAL_MACHINE\SOFTWARELMicrosoft\Windo-ws\CurrentVersion\Run,刪除右邊的WinProfile=C:\command.exe;
(5)重新啟動到Windows系統,就完成了AOL木馬的清除。
通過用戶名和口令保安全有局限性
由用戶名和口令實現安全有一定局限性。經過仔細挑選的口令是有效果的,用戶經常挑選非常淺顯的口令,如他們的名字、生日、電話號碼,或是寵物的名字。這些口令容易被猜測出來。在WWW服務器上,不像UNIX,在多次未成功猜測后并不會發出警告。一個頑固的黑客能通過一個口令猜測程序的方式闖進系統。人們應該對遠程用戶共用他們的名字和口令而發出警告,運用IP地址和口令限制的組合比單純運用二者要安全得多。
另一個問題是,口令從瀏覽器向服務器傳送時容易被截取。以任何有意義的方式都無法對其加密,所以具有一定軟件和硬件經驗的黑客,當口令通過互聯網傳輸時可以截獲它。此外,不像一個口令在此進程只能通過互聯網一次登錄,而瀏覽器每送一個口令就獲取一個被保護的文檔。當它流過互聯網時,黑客能容易的竊取所傳送的數據。為避免這種情況,必須對口令等數據加密。
3.聰明基因
“聰明基因”是國產木馬,默認連接端口7511。“聰明基因”的突出特點是采用了HTM文件圖標,而且當用戶打開它時,還會自動調用IE,然后打開一個它在后臺生成的文件。它采取的是和幫助關聯的方式。下面介紹手動清除方法。
(1)刪除C:\Windows下的MBBManager.exe和Explore32.exe,再刪除C:\Windows\ system下的editor.exe文件。如果服務端已經運行,則使用進程管理軟件終止MBBManager.exe進程,然后在Windows下將它刪除,也可到DOS下刪除MBBManager.exe,而editor.exe在 Windows下可直接刪除。
(2)展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current- Version\Run下,刪除串值“MainBmad BackManager”,其鍵值為C:\Windows\MBBM- anager.exe,每次在開機時就被加載運行,因此刪掉它。
(3)恢復TXT文件關聯“聰明基因”,將注冊表HKEY_CLASSES_ROOT\txtfile\sh- ell\open\command下的默認鍵值由C:\Windows\LNOTEPAD.EXE%1改為C:\Windows\syst- em\editor.exe%1,因此要恢復成原值。
同理,到注冊表的HKEY_LOCAL_MACHINE\Software\CLASS\txtfile\shell\open\com-mand下,將默認鍵值由C:\Windows\system\editor.exe%/1改回到C:\WindowsLNOTEPAD.EXE%1,這樣就將TXT文件關聯恢復過來了。
4.Acid Shiver v1.0+1.0Mod+imacid
清除Acid Shiver木馬的過程有些復雜,可以按照以下的步驟進行清除。
(1)重新啟動到DOS模式,刪除C:\Windows\wintour.exe文件;
(2)再重新啟動到Windows系統,打開注冊表,找到目錄:HKEY_LOCAL_MACH- INE\SOFTWAREkMicmsoft\Windows\CurrentVersionhRun,刪除右邊的Explorer=-“C:\Windo-ws\MSGSVR16.EXE”,找到目錄:HKEY_LOCAL_MACHINE\SOFTWAREhMicrosoff\Windo-ws\CurrentVersion\RunServices,刪除右邊的Explorer=“C:\Windows\MSGSVR16.EXE”;
(3)重新啟動到DOS模式,刪除C:\Windows\wintour.exe,然后回到Windows系統;
(4)打開注冊表,找到目錄:HKEY LOCAL_MACHINE\SOFTWARELMicmsoft\Win- dows\CurrentVersion\Run,刪除右邊的Wintour=“C:\Windows\WINTOUR.EXE”,找到目錄: HKEY_LOCAL MACHINE\SOFTWAREkMicrosoft\Windows\CurrentVersion\RunServices,刪除右邊的Wintour=“C:\Windows\WINTOUR.EXE”;
(5)重新啟動Windows系統。
5.GOP
GOP是Get OICQ Password的縮寫,從這個名字我們就可以看出,這是一個獲取別人OICQ(現在應該稱為QQ)密碼的木馬軟件。用手工進行清除的辦法如下所述。
(1)在注冊表里找到HKEY_LOCAL_MACHINE\SOFFWARE\Microsofi\Windows\Curr- entVersionLRun刪除“C:\winnt\system32\kerne132.exe”的主鍵;
(2)立即重啟系統,重啟后馬上查找IMEKerne132.sys這個文件,打到后刪除這個文件。