一、防范木马应该注意的一些问题
1、不到不受信任的网站上下载软件运行
2、不随便点击来历不明邮件所带的附件
3、及时安装相应的系统补丁程序
4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库
5、为系统所有的用户设置合理的用户口令
口令设置要求:
1.口令应该不少于8个字符;
2.不包含字典里的单词、不包括姓氏的汉语拼音;
3.同时包含多种类型的字符,比如
o大写字母(A,B,C,..Z)
o小写字母(a,b,c..z)
o数字(0,1,2,…9)
o标点符号(@,#,!,$,%,& …)
win2000口令设置方法
当前用户口令:在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。
其他用户口令:
在开始-控制面板-用户和密码-选定一个用户名-点击设置密码
二、检查和清除木马可能会使用到命令
1、如何进入命令行方式?
win98下在开始--运行中输入command点确定
winnt、win2000、winxp下在开始--运行中输入cmd后点确定
2、如何使用netstat命令?
netstat是用来显示网络连接、路由表和网络接口信息的命令,使用方法是在命令行下输入netstat -an后回车,输出结果格式如下:
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0135 0.0.0.00 LISTENING
TCP 0.0.0.0445 0.0.0.00 LISTENING
TCP 0.0.0.01025 0.0.0.00 LISTENING
TCP 0.0.0.01026 0.0.0.00 LISTENING
UDP 0.0.0.0445
UDP 0.0.0.02967
UDP 0.0.0.038037
这其中Proto项代表是协议类型,Local Address项代表的是本地IP地址和端口(冒号后面为端口号),Foreign Address项代表的是外部IP地址和端口,State表示的是当前状态。上面这个结果表示这台机器开放了TCP的135、445、1025和1026端口,UDP的445、2967和38027端口
3、如何使用Fport命令?
Fport是查看系统进程与端口关联的命令,使用方法是在命令行方式下输入Fport后回车,输出结果格式如下:
Pid Process Port Proto Path
472 svchost - 135 TCP CWINNTsystem32svchost.exe
8 System - 445 TCP
580 MSTask - 1025 TCP CWINNTsystem32MSTask.exe
8 System - 1026 TCP
8 System - 445 UDP
444 rtvscan - 2967 UDP CProgram FilesNavNTrtvscan.exe
812 MsgSys - 38037 UDP CWINNTSystem32MsgSys.EXE
这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。
从上面这个结果看,系统上135、445端口是与Cwinntsystem32svchost.exe程序关联的1025、1026、445(udp)端口与 cwinntsystem32mstask.exe程序关联的2967(udp)端口是与CProgram FilesNavNTrtvscan.exe程序关联的38027(udp)端口是与 CWINNTSystem32MsgSys.EXE程序关联的
注:fport仅适用于winnt、win2000和winxp,在win98下无法使用
4、如何编辑注册表?
请在开始--〉运行中输入regedit后点确定进入注册表编辑状态。注册表编辑框左边显示的是注册表的项,右边显示的是注册的键值,要删除键值请点中该键值后点右键选择其中的删除。要修改键值请点中该键值后点鼠标右键选择修改。要删除项请选中该项后点右键选删除。
5、如何关闭服务?
开始--控制面版--管理工具--服务进入服务管理工具,选中要关闭的服务后点右键选停止
注:上面方法仅适用于WINNT、WIN2000和WINXP
6、如何进入安全模式?
系统启动时按F8
7、如何杀进程?
win98下按ALT+CTRL+DEL,在弹出的对话框中选中你要结束的进程后点关闭,winnt、win2000和winxp下按ALT+CTRL+DEL弹出窗口后选择任务管理器,在进程一项里选中你要结束的进程后点击结束进程
三、常见木马及控制软件的服务端口与关闭方法
注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整
win98系统: cwindows cwindowssystem
winnt和win2000系统: cwinnt cwinntsystem32
winxp系统: cwindows cwindowssystem32
根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将Cwindows改为Dwindows依此类推大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:
例:113端口木马的清除(仅适用于windows系统):
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost - 113 TCP CWINNTsystem32vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
cwinntsystem32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如,rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与 监听113端口的木马程序有关的其他程序)
6.重新启动机器。
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
停止服务名为WINS Client和Network Connections Sharing的两项服务
删除cwinntSYSTEM32WINS目录下的DLLHOST.EXE和SVCHOST.EXE文件
编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值
1999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
使用进程管理工具将notpa.exe进程结束
删除cwindows目录下的notpa.exe程序
编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中包含cwindows
otpa.exe o=yes的键值
2001端口的关闭:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
首先使用进程管理软件将进程windows.exe杀掉
删除cwinntsystem32目录下的windows.exe和S_Server.exe文件
编辑注册表,删除将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices项中名为windows的键值
将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除
修改HKEY_CLASSES_ROOTtxtfileshellopencommand项中的cwinntsystem32S_SERVER.EXE %1为CWINNTNOTEPAD.EXE %1
修改HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand项中的cwinntsystem32S_SERVER.EXE %1键值改为CWINNTNOTEPAD.EXE %1
2023端口的关闭:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
使用进程管理工具结束sysrunt.exe进程
删除cwindows目录下的sysrunt.exe程序文件
编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
重新启动系统
2583端口的关闭:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中的WinManager = cwindowsserver.exe键值
编辑win.ini文件,将run=cwindowsserver.exe改为run=后保存退出
重新启动系统后删除Cwindowssystem SERVER.EXE
3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
win2000关闭的方法:win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:在我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
使用进程管理工具结束msblast.exe的进程
编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中的windows auto update=msblast.exe键值
删除cwinntsystem32目录下的msblast.exe文件
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
请在开始--运行中输入cmd(98以下为command),然后cd Cwinntsystem32(你的系统安装目录),输入r_server.exe stop后按回车。然后在输入r_server uninstall silence 到Cwinntsystem32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是cwinntfontsexplorer.exe)
在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行cwinntexplorer.exe)
删除Cwinntfonts中的explorer.exe程序。
删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中的Explorer键值。
重新启动机器。