木马入侵的常用手法及清除方法
虽然木马程序千变万化,但正如一位木马组织的负责人所讲,大多数木马程序没有特别的功能,入侵的手法也差不多,只是以前有关木马程序的重复,只是改了个名而已,现在他们都要讲究效率,据说他们要杜绝重复开发,浪费资源。当然我们也只能讲讲以前的一些通用入侵手法,因为我们毕竟不是木马的开发者,不可能有先知先觉。
1、在win.ini文件中加载 一般在win.ini文件中的[windwos]段中有如下加载项:
run= load= ,一般此两项为空,如图1所示。
图1 如果你发现你的系统中的此两项加载了任何可疑的程序时,应特别当心,这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中之后,那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序,但你要知道这更是木马利用的好机会,它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,这个文件名也往往用你常见的文件,如command.exe、sys.com等来伪装。
3、修改注册表 如果经常研究注册表的朋友一定知道,在注册表中我们也可以设置一些启动加载项目的,编制木马程序的高手们当然不会放过这样的机会的,况且他们知道注册表中更安全,因为会看注册表的人更少。事实上,只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如图3所示;
图3 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如图4所示。
图4 你只要按照其指定的源文件路径一路查过去,并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了,不过同样要注意木马的欺骗性,它可是最善于伪装自己呵!同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名,如有则立即删除。
4、修改文件打开关联 木马程序发展到了今天,他们发现以上的那些老招式不灵了,为了更加隐蔽自己,他们所采用隐蔽的手段也是越来越高明了(不过这也是万物的生存之道,你说呢?),它们采用修改文件打开关联来达到加载的目的,当你打开了一个已修改了打开关联的文件时,木马也就开始了它的运作,如冰河木马就是利用文本文件(.txt)这个最常见,但又最不引人注目的文件格式关联来加载自己,当有人打开文本文件时就自动加载了冰河木马。
修改关联的途经还是选择了注册表的修改,它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目,如冰河木马修改的对象如图5所示,
图5 如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”,而是改为“sysexplr.exe %1”。
以上所介绍的几种木马入侵方式,如果发现了我们当然是立即对其删除,并要立即与网络断开,切断黑客通讯的途径,在以上各种途径中查找,如果是在注册表发现的,则要利用注册表的查找功能全部查找一篇,清除所有的木马隐藏的窝点,做到彻底清除。如果作了注册表备份,最好全部删除注册表后再导入原来的备份注册表。
在清除木马前一定要注意,如果木马正在运行,则你无法删除其程序,这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项,如果你是在木马处于活动时删除该项的话它能自动恢复,这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。
上面是讲了我们已发现的情况下可以采取这些补救措施,但是一般情况下我们没有那么容易发现它,只好利用专门的杀毒软件来帮助我们进行了。目前专门查杀木马病毒的反木马软件主要有以下几种,我们可以借助它们的功力来铲助木马。目前最常用的反木马程序有:
a、the cleaner 目前它的最高版本为3.1 它可在目前主要的windows平台WIN9X/NT/2000中应用,可在
http://www.moosoft.com地址中下载。
这可能是目前最好的反木马的工具了,也是目前查木马数量最多的,它最招人喜爱的地方还有它可以随时自动升级,只要轻点UPDATE按纽即可,不象LOCKDOWN还要查你的密码。绝对是查木马工具的首选。它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息,是个帮你了解系统的好帮手。
b、Trojan Remover 目前的版本为3.3.2,它的应用平台有限,仅为WIN9X,下载地址为:
http://www.simplysup.com/tremover,它是一个专门用来清除特洛伊木马和自动修复系统文件的工具,能够检查系统登录文件、扫描WIN.INI、SYSTEM.INI和系统登录文件,且扫描完成后会产生Log信息文件,并帮你自动清除特洛伊木马和修复系统文件。
当然还有许多反病毒软件也具有一些反木马的功能,而且功能还可以,如金山毒霸、KILL等,但还是以上两款更专业。
谈到这个问题,我真有点害怕讲下去,因为我知道我所讲的这些预防办法那些专门研究木马的黑客早就注意了,或许早就想好了对策,但是不管怎样我相信如果注意了以下几个方面多多少少对阻止木马的入侵有些好处的,特别是对那些入门级的木马!在此先要声明,反木马就象反病毒一样永远没有止境,也永远没有一个百分百的解决方案,因为都是先有木马,然后才有我们反木马的方法和软件,我们始终是个追随者!
如何避免木马的入侵
1、 不要执行任何来历不明的软件 对于从网上下载的软件在安装、使用前一定要用多几种反病毒软件,最好是专门查杀木马的软件进行检查,确定无毒了再执行、使用。
2、不要相信你的邮箱不会收到垃圾和带毒的邮件 永远不要相信你的邮箱就不会收到垃圾和带毒的邮件,即使从没露过面的邮箱或是ISP邮箱,有些时候你永远没办法知道别人如何得知你的mail地址的。
3、不要轻信他人 不要因为是你的好朋友发来的软件就运行,因为你不能确保他的电脑上就不会有病毒,当然好朋友故意欺骗的可能性不大,但也许他(她)中了黑客程序自己还不知道!同时,网络发展到今天,你也不能保证这一定是你的朋友发给你的,因为别人也可冒名给你发邮件。
4、不要随便留下你的个人资料 特别不要在聊天室内公开你的Email地址。 因为你永远不会知道是否有人会处心积虑收集起你的资料,以备将来黑你!更不要将重要口令和资料存放在上网的电脑里,以防黑客侵入你的电脑盗走你一切“值钱的东东”。
5、网上不要得罪人 在聊天时,永远不要以为网络上谁也不认识谁就出言不逊,这样会不小心得罪某些高人,到时找你开刀。
6、不要随便下载软件 特别是不可靠的小FTP站点、公众新闻级、论坛或BBS上,因为这些地方正是新病毒发布的首选之地。
7、最好使用第三方邮件程序 如Foxmail等,不要使用Microsoft的Outlook程序,因为Outlook程序的安全漏洞实在太多了,况且Outlook也是那些黑客们首选攻击的对象,已经选好了许多攻击入口;
8、不要轻易打开广告邮件中附件或点击其中的链接 因为广告邮件也是那些黑客程序依附的重要对象,特别是其中的一些链接。
9、将windows资源管理器配置成始终显示扩展名 因为一些扩展名为:VBS、SHS、PIF的文件多为木马病毒的特征文件,更有些文件为又扩展名,那更应重点查看,一经发现要立即删除,千万不要打开,只有时时显示了文件的全名才能及时发现。
10、尽量少用共享文件夹 如果因工作等其它原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要系统目录设置成共享!
11、给电子邮件加密 为了确保你的邮件不被其它人看到,同时也为了防止黑客们的攻击,至于电子邮件的加密请参考《
令电子邮件安全传递的方法-PGP签名》一文,在那篇文章中向大家推荐了一款加密专家——PGP,相信它一定不会让你失望的!
12、隐藏IP地址 这一点非常重要!!你上网时最好用一些工具软件隐藏你的电脑的IP地址,如使用ICQ,就进入“ICQMenu\Securi-ty&Privacy”,把“IP Publishing”下面的“Do not Publish IP ad-dress”选项上。
13、运行反木马实时监控程序 最后,好是最重要的一点就是你在上网时必需运行你的反木马实时监控程序,如、the cleaner, 它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息,加外如加上一些专业的最新杀毒软件、个人防火墙进行监控那更是放心了,当然这要你的爱机够档次才行,你说呢?
几款常见木马病毒的清除
为了方便大家及时快捷地查杀你电脑中的现有木马,现向大家介绍几款木马病毒的查杀方法。
1.Back Orifice(BO) 只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices中有无.exe键值。如有,则将其删除,并进入MS-DOS方式,将\Windows\System中的.exe文件删除(可运用开始菜单中的“搜索”程序帮助你进行查找这一文件)。
2.Back Orifice 2000(BO2000) 只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中有无Umgr32.exe的键值,如有,则将其删除。重新启动电脑,并将\Windows\System中的Umgr32.exe删除。
3.Netspy 检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有无键值Spynotify.exe和Netspy.exe。如有将其删除,重新启动电脑后将\Windows\System中的相应文件删除。
4.Happy99 此程序首次运行时,会在荧幕上开启一个名为“Happy new year1999”的窗口,显示美丽的烟花,此时该程序就会将自身复制到Windows95/98的System目录下,更名为Ska.exe,创建文件Ska.dll,并修改Wsock32.dll,将修改前的文件备份为Wsock32.ska,并修改注册表。
用户可以检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce中有无键值Ska.exe。如有,将其删除,并删除\Windows\System中的Ska.exe和Ska.dll两个文件,将Wsock32.ska更名为Wscok32.dll。
5.Picture 检查Win.ini系统配置文件中“load=”是否指向一个可疑程序,清除该项。重新启动电脑,将指向的程序删除即可。
6.Netbus 用“Netstat -an”查看12345端口是否开启,在注册表相应位置中是否有可疑文件。首先清除注册表中的Netbus的主键,然后重新启动电脑,删除可执行文件即可。
7、冰河 用纯DOS启动进入系统(以防木马的自动恢复),删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件,注意如果系统提示你不能删除它们,则因为木马程序自动设置了这两个文件的属性,我们只需要打开它们的隐藏、只读属性,方法是键入如下命令:Attrib a h r kernel32.exe或sysexplr.exe即可。
删除后进入windows系统进入注册表中,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]两项,然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe %1”,如是改回"notepad.exe %1” 。
8、Asylum 这个木马程序是修改了system.ini win.ini两个文件,先查一下system.ini文件下面的[BOOT]贡,看看"shell=explorer.exe”,如不是则删除它,用回上面的设置,并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件,看在[windows]项下的"run=”是不是有什么文件名,一般情况下是没有任何加载值的,如有记下它以便回过头过在纯DOS下删除相应的文件名。
[
本帖最后由 flyingfish42 于 2007-5-23 13:53 编辑 ]
