在各种电脑病毒中,木马类病毒在网络上比较活跃,而且会经常给人们带来危害。在这里,我们向读者介绍一些常见木马类病毒的识别和清除方法,供网管员们在实践中参考。同时,也希望网管员们推荐一些根除其他病毒的有效方法。
1.广外女生
“广外女生”木马是2001年的十大木马之一,其可怕之处在于“广外女生”预备端被执行后,会每隔5分钟自动进行一次进程检查,看是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样的进程。如果发现就将该进程终止,这使得大家最常用的各种病毒防火墙、网络防火墙不能运行与监控。即便发现了该病毒的存在,也很难使用杀毒软件来进行查杀,因为杀毒软件查杀需要大量的时间,在这个时间内往往就被终止了进程。而且这个木马还有一个让人难以处理之处,即如果手工删除了这个程序的主文件,那么所有的EXE文件都打不开。因为它和EXE关联了,只要打开一个EXE的程序,就必须先检查它是否在运行,如果没有,就自动启动它,然后以参数传递方式打开此EXE程序。当手工删除之后,系统会找不到它,自然参数也就传递不了,也就不能打开任何EXE程序。
该病毒的清除方法如下所述。
(1)使用“开始”→“运行”,输入“regedit”打开注册表;
(2)打开注册表HKEY_CLASSES_Roo]_ROOT\exefile\shell\open\command值,然后继续第三步:
(3)删除系统SYSTEM目录下面的DIAGCFG.EXE文件;
(4)修改注册表的HKEY_CLASSES_ROOT\exefile\shell\open\command值为“%1”%*;
(5)打开注册表HKEY_LOCAL_MACHINE\SOFTWAREhMicrosoft\Windows\CurrentV- ersion\RunServices,删除其中名称为“Diagnostic Confignration”的键值;
(6)关闭注册表。
2.AOL Trojan
要清除AOL Trojan木马程序,请按照以下步骤去做。
(1)在Windows系统下,取消下列文件的隐藏属性:C:americ~1.0\buddy1~1.exe和 C:\Windowsks\stem\norton~1~regist-1.exe;
(2)重新启动到MS-DOS模式,删除下面两个文件:C:americ~1.0\buddy1~1.exe和 C:\Windowsks\system\norton~1\regist~1.exe;
(3)重新启动到Windows系统下,编辑win.ini文件,在“Windows”下面“run=”和“load=”都具有特洛伊木马程序的路径,必须清除它们,使其成为:
run=
load=
修改完毕后,保存win.ini文件即可。
(4)打开注册表,找到目录:HKEY_LOCAL_MACHINE\SOFTWARELMicrosoft\Windo-ws\CurrentVersion\Run,删除右边的WinProfile=C:\command.exe;
(5)重新启动到Windows系统,就完成了AOL木马的清除。
通过用户名和口令保安全有局限性
由用户名和口令实现安全有一定局限性。经过仔细挑选的口令是有效果的,用户经常挑选非常浅显的口令,如他们的名字、生日、电话号码,或是宠物的名字。这些口令容易被猜测出来。在WWW服务器上,不像UNIX,在多次未成功猜测后并不会发出警告。一个顽固的黑客能通过一个口令猜测程序的方式闯进系统。人们应该对远程用户共用他们的名字和口令而发出警告,运用IP地址和口令限制的组合比单纯运用二者要安全得多。
另一个问题是,口令从浏览器向服务器传送时容易被截取。以任何有意义的方式都无法对其加密,所以具有一定软件和硬件经验的黑客,当口令通过互联网传输时可以截获它。此外,不像一个口令在此进程只能通过互联网一次登录,而浏览器每送一个口令就获取一个被保护的文档。当它流过互联网时,黑客能容易的窃取所传送的数据。为避免这种情况,必须对口令等数据加密。
3.聪明基因
“聪明基因”是国产木马,默认连接端口7511。“聪明基因”的突出特点是采用了HTM文件图标,而且当用户打开它时,还会自动调用IE,然后打开一个它在后台生成的文件。它采取的是和帮助关联的方式。下面介绍手动清除方法。
(1)删除C:\Windows下的MBBManager.exe和Explore32.exe,再删除C:\Windows\ system下的editor.exe文件。如果服务端已经运行,则使用进程管理软件终止MBBManager.exe进程,然后在Windows下将它删除,也可到DOS下删除MBBManager.exe,而editor.exe在 Windows下可直接删除。
(2)展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current- Version\Run下,删除串值“MainBmad BackManager”,其键值为C:\Windows\MBBM- anager.exe,每次在开机时就被加载运行,因此删掉它。
(3)恢复TXT文件关联“聪明基因”,将注册表HKEY_CLASSES_ROOT\txtfile\sh- ell\open\command下的默认键值由C:\Windows\LNOTEPAD.EXE%1改为C:\Windows\syst- em\editor.exe%1,因此要恢复成原值。
同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASS\txtfile\shell\open\com-mand下,将默认键值由C:\Windows\system\editor.exe%/1改回到C:\WindowsLNOTEPAD.EXE%1,这样就将TXT文件关联恢复过来了。
4.Acid Shiver v1.0+1.0Mod+imacid
清除Acid Shiver木马的过程有些复杂,可以按照以下的步骤进行清除。
(1)重新启动到DOS模式,删除C:\Windows\wintour.exe文件;
(2)再重新启动到Windows系统,打开注册表,找到目录:HKEY_LOCAL_MACH- INE\SOFTWAREkMicmsoft\Windows\CurrentVersionhRun,删除右边的Explorer=-“C:\Windo-ws\MSGSVR16.EXE”,找到目录:HKEY_LOCAL_MACHINE\SOFTWAREhMicrosoff\Windo-ws\CurrentVersion\RunServices,删除右边的Explorer=“C:\Windows\MSGSVR16.EXE”;
(3)重新启动到DOS模式,删除C:\Windows\wintour.exe,然后回到Windows系统;
(4)打开注册表,找到目录:HKEY LOCAL_MACHINE\SOFTWARELMicmsoft\Win- dows\CurrentVersion\Run,删除右边的Wintour=“C:\Windows\WINTOUR.EXE”,找到目录: HKEY_LOCAL MACHINE\SOFTWAREkMicrosoft\Windows\CurrentVersion\RunServices,删除右边的Wintour=“C:\Windows\WINTOUR.EXE”;
(5)重新启动Windows系统。
5.GOP
GOP是Get OICQ Password的缩写,从这个名字我们就可以看出,这是一个获取别人OICQ(现在应该称为QQ)密码的木马软件。用手工进行清除的办法如下所述。
(1)在注册表里找到HKEY_LOCAL_MACHINE\SOFFWARE\Microsofi\Windows\Curr- entVersionLRun删除“C:\winnt\system32\kerne132.exe”的主键;
(2)立即重启系统,重启后马上查找IMEKerne132.sys这个文件,打到后删除这个文件。
