木马清除不求人.docx

木马清除不求人.docx

《木马清除不求人.docx》由会员分享，可在线阅读，更多相关《木马清除不求人.docx（37页珍藏版）》请在冰豆网上搜索。

木马清除不求人

木马清除不求人

第七章木马清除不求人

许多电脑使用者对于木马程序都是深恶痛绝的，可是又拿它没什么办法。

有的木马程序

虽然用相应的清理工具进行了清理，表面上是不存在了，实际上木马仍然驻留在电脑中……

本章将讲解一些非常规的清除木马方法，让你彻底摆脱“木马恶魔”。

7.1清除木马总动员

7.1.1清杀网络魔鬼

这款木马威力强大，它可以感染除Windows3.x之外的所有Windows操作系统，并允许

攻击并远程控制被感染的电脑，盗取电脑数据资料，让你防不胜防。

■木马原理

1．木马运行时，会将自己拷贝到系统目录下，并命名为Kernet.dll。

2．在注册表中添加键值HKEY_CLASS_ROOT\.dll和HKEY_CLASS_ROOT\dllfile，目

的是使.dll类型的文件能以EXE文件的形式执行。

3．同时向注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current

Version\Run中添加键值kernel32\Kernel.dll。

4．打开端口905，把当前电脑的IP地址、端口号和密码发送给攻击者，从而对你的电脑

进行远程控制。

■击溃木马

1．安装放火墙。

2．升级杀毒软件和木马专杀工具查杀。

3．在注册表中删除“HKEY_CLASS_ROOM\.dll”、“HKEY_CLASS_ROOM\dllfile”和

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”中的

kernel32项值。

176

曝光黑客曝光黑客

7.1.2远离冰河木马

在众多木马程序中，冰河以其独特的性能脱颖而出。

■木马原理

1．运行冰河会修改注册表里的文件关联，即使删除掉冰河，也能在运行相关程序的时候

自动恢复冰河的设置。

2．冰河程序由两个部分组成，一个是服务器端程序，即运行在被控制主机上的程序；另

一个是客户端程序，即运行在主控主机上的程序。

3．注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main中

键值StartPage已被修改成了一个恶意网站的网址了（鉴于恶意网站的破坏性，此处隐去了

文字和图片中的具体网址），写入新的键值就可以了。

■击溃木马

1．重新启动电脑并进入纯DOS模式，删除C：

\Windows\system下冰河生成的服务端

程序Kerne32.exe和Sysexplr.exe。

2．然后进入Windows系统，打开注册表编辑器，删除注册表HKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\

software\microsofi\windowsCurrentVersion\Runservices主键下的默认键值，其数

据都为C：

\windows\system\Kerne32.exe。

3．查看HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Shell\Open\command

主键的默认键值是不是“C:

\windows\system\Sysexplr.exe%1”，如果是就改成

“notepad.exe%1”。

177

CChhaapptteerr77木马清除不求人

4．还要把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Shell\Open\Command

主键下的默认键值改为正常的“"%1"%*”。

7.1.3破解黑洞2001

当进程被终止，防火墙莫名其妙失效时，很有可能遇上了黑洞2001。

■木马原理

1．黑洞2001的原始文件只有一个客产端程序，它的服务端程序只有通过客产端程序生

成。

2．服务端文件名为S_Server.exe（大小397632字节）。

3．默认连接端口为2001（可更改变化）。

4．它还具有终止进程功能。

它的服务端程序可以随意终止被控机器的程序进程，通过这

个功能控制者可以突破被控机器的网络防火墙，从而实施更大的破坏。

而且它的服务端程序

图标是普通文件夹图标，很容易使人上当。

■击溃木马

1．重新启动电脑并进入纯DOS模式，删除C:

\Windows\system下黑洞2001生成的服

务端程序Windows.exe和Server.exe。

2．进入Windows系统，将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command

和HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command主

键下的默认键值由“S_SERVER.EXE%1”改为“NOTEPAD.EXE%1”。

3．删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices主键下的键值“Windows”，其数据为“Windows.exe"。

4．最后，将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES

下的Winvxd主键删除即可。

7.1.4抓住网络神偷

网络神偷一反木马常规，采用了独特的反弹端口，改变了数据流方向，因此可以躲过大

多数网络防火墙的拦截，真是可怕。

178

曝光黑客曝光黑客

■木马原理

1．网络神偷只有一个客户端程序，服务端程序需要生成。

客户端程序为Nethief.exe。

2．默认连接端口为80（这是第一个采用反弹端口的木马）。

3．Nethief只能进行文件的上传、下载和远程运行，但它一反常规，采用了独特的反弹

端口，改变了数据流方向，因此可以躲过大多数网络防火墙的拦截，从而达到窃取文件的目

的，因而是非常可怕的。

■击溃木马

1．重新启动电脑并进入纯DOS模式，删除C：

\Windows\system下的服务端程序

intemet.exe。

2．删除网络神偷在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run主键下建立的键值“internet”，其数据为“Internet.exe”。

7.1.5广外女生很危险

别以为这是个如何漂亮与温柔的MM哦，这是一款功能强大的木马，小心为妙。

■木马原理

1．也采用了流行的单客户端方式，服务端程序需要生成。

生成的服务端程序为

GDUF5.exe，默认连接端口为6267（而且可以更改变化）。

2．具有木马应当具备的文件操作、注册表操作等，而且它会自动检查系统进程，如果发

现有金山毒霸、防火墙、iparmor、Tcmonitor、实时监控、Lockdown、Kill、天网等对它有

179

CChhaapptteerr77木马清除不求人

害的进程存在，就会立即将该进程终止，从而导致常规的防杀木马的工具根本无法使用。

3．采用其他木马不常用的EXE文件关联方式。

■击溃木马

1．重新启动电脑并进入纯DOS模式，删除C：

\Windows\system下木马生成的服务端

程序DIAGFG.EXE。

2．回到Windows系统，在Windows目录中找到注册表编辑器“Regedit.exe”，将它改

名为“R”。

3．找到HKEY_CLASSES_ROOT\exefile\shell\open\commond主键，将其默认键值由

“C：

WINDOWS\SYSTEM\DIAGCF6.EXE"%1"%*”改成“"%1"%*”。

4．找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices主键，删除其中名称为“DiagnosticConGumptions”、数据为“C：

\WINDOWS\SYSTEM\DIAGCFG.EXE-load”的键值。

5．最后，别忘了把“R”改成“Regedit.exe”。

7.1.6制服网络公牛

公牛的脾气坏，这是众所周知的了。

可是有一头“公牛”，不仅脾气坏，心眼也坏，少见

吧!

■木马原理

1．网络公牛的文件压缩包中有很多文件，需要把多个程序连接在一起。

2．服务端程序为newserver.exe，客户端程序为peep.exe，默认连接端口为234444（可

以更改端口）。

3．服务端运行后会自动捆绑以下文件：

Windows9X下捆绑notepad.exe、write.exe、

regedit.exe、Winmine.exe、winhep.exe；WindowsNT/2000下（在Windows2000下会

出现文件改动报警，但并不能阻止以下文件的捆绑）捆绑notepad.exe、regedit.exe、

reged32.exe、drwtsn32.exe、Winmine.exe。

4．并且服务端还会捆绑在开机时自动运行的第三方软件，要清除时必须删除被捆绑的程

序。

180

曝光黑客曝光黑客

■击溃木马

1．在纯DOS环境下，删除网络公牛的自启动程序C：

\WINDOWS\SYSTEM\CheckDll.exe。

2．然后删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current

Version\Run、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices以及HKEY_USERS\DEFAULT\Software\Microsoft\Windows\Current

Version\Run三个主键下的“CheckDll.exe”键值，这三个键值的数据都是“C：

\WINDOWS\SYSTEM\CheckDll.exe”。

通过和正常机器上的文件比较上面所列出文

件大小，观察这些文件是否被捆绑，被捆绑后一般会增加40KB左右，如果被捆绑，

要用备份文件进行覆盖恢复。

对于捆绑了开机自启动的第三方程序，那就只有把文件删除后重装软件了。

7.1.7清除Liquid木马

电脑突然莫名其妙地重启，再次进入系统后，还是遇到同样的情况，真是怪了。

这样的

情况就很有可能中了Liquid木马了。

■木马原理

1．此木马以可执行文件MP3LiquidBurn.exe的形式出现，运行后会在C盘的Program

Files及启动文件夹下创建许多文本文件，并且随机重启攻击电脑。

这些文本文件大小为10

字节，文件名为“Yousuckxxxx.txt”（xxxx是从1开始增加的数字），文本内容为：

“youSuck”。

2．生成这些文件后，病毒就开始重启你的电脑。

一旦感染了此病毒，系统性能会降低，

接着是导致系统不稳定，经常重新启动，这时你想利用电脑工作就不可能了。

由于经常重启，

硬件也会受到影响，有可能造成硬件故障。

受影响的系统有:

Windows95，Windows98，

WindowsNT，Windows2000，WindowsXP，其他操作系统不受影响。

3．电脑的C盘ProgramFiles文件夹中出现大量的以“YouSuck”作为文件名开头的

文本文件。

■击溃木马

1．在运行电脑时先启动防火墙，一旦出现木马或者病毒，它会给我们一个警告，以便我

们能够删除它们。

使用一般的防火墙就可以了，但一定要保证病毒库是最新的。

2．处理木马的最好方法是利用一些木马查杀软件，比如TheCleanerV3.2Build。

如果

181

CChhaapptteerr77木马清除不求人

有杀毒软件，那么处理这样的木马，会更加简单，只要先对你的病毒包进行升级，即可将此

木马扫出你的机器。

7.1.8清除BackDoor-ACH木马

在网上聊得正开心的时候，电脑的速度突然变得特别慢，不一会电脑就死机了，再次进

入系统，出现提示系统错误的对话框。

■木马原理

1．这个木马是由三个部分组成的，包括服务器端，客户端和配置工具。

2．该木马运行在服务器端时会弹出一个错误提示对话框。

接着，它会将自身

DLLDAT32.EXE（334758bytes）复制到Windows的系统目录下。

3．对注册表进行修改，将“DLLDAT32=c：

\windows\system\dlldat32.exe”添加到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中，将

“DLLDAT32=c：

\windows\system\dlldat32.exe”添加到“HKEY_LOCAL_MACHINE\

Software\Microsoft\Windows\CurrentVersion\RunServices”中，这样就可以让木马和系统

一起启动。

4．木马会在被感染的电脑中打开一个端口（例如：

13371，端口不是固定的），为入侵者

打开一条道路。

它会通过80端口给入侵者发出通知，内容包括受害者电脑的IP地址、机器

名、打开的端口、密码和版本等。

5．该木马最厉害之处在于可以终止某些进程（如防火墙和杀毒软件的进程）。

一旦入侵者

利用木马进入受害者的电脑，可以对受害者的电脑为所欲为了。

■击溃木马

1．利用最新版本的杀毒软件，可以将这个木马进行过滤。

注意平时要打开防火墙，在上

网时不要随便浏览陌生人发来的邮件，这样别人想攻击你也就没有机会了。

2．利用升级的杀毒软件进行查找，或者是利用专门查杀木马的软件进行查杀，即可将木

马查找出来。

如果想自己动手查找，可以运行注册表，查看HKEY_LOCAL_MACHINE

\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中是不是有DLLDAT32=C:

\windows

\System\dlldat32.exe键值。

如果有，说明中了此木马。

3．如果中了木马，将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run的DLLDAT32=C:

\windows\system\dlldat32.exe键值删除即可。

182

曝光黑客曝光黑客

7.1.9清除BackDoorDucktoy木马

这个木马非常危险，一旦中招，你的电脑就会被别人控制。

■木马原理

1．BackdoorDucktoy这个木马由客户端和服务器端两部分组成。

假如你无意中运行了

服务器端，那么别人就可以用Ducktoy的客产端控制你的电脑。

2．木马的访问端口缺省是29559和59211，不过端口是可以更改的。

客户端可以通过

电脑的IP地址或电脑名字来访问你的电脑。

3．该木马还会将MSHTML（木马的路径\文件名）键值添

加到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册

表中，这样使木马可以在电脑启动时运行。

■击溃木马

1．对付这个木马最好的方法就是利用一些木马扫描软件，也可以利用防火墙。

每次启动

电脑时要同时启动防火墙，这样可以将你的电脑置于安全的监控之下，别人想搞鬼就没有那

么容易了。

2．在注册表中查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current

Version\Run，将里面的MSHTML（木马的路径\文件名）键值

删除即可。

3．通过搜索硬盘（按下F3键，通过查找来查看木马文件），把木马文件找到并删除。

不

过最好还是先将电脑启动到安全模式之下再删除。

4．利用杀毒软件，先对杀毒软件进行升级之后再运行查找，将此木马给找出来，找到之

后，将其删除即可。

7.1.10清除PWSteaIKaylo木马

要想自己的资料更加安全，我们一般都会设置密码。

有一些木马程序专门偷取密码，比

如PWStealKaylo。

■木马原理

1．PWStealKaylo木马会搜索用户的密码，然后将它们发送到指定邮箱。

183

CChhaapptteerr77木马清除不求人

2．此木马依靠非正式文档函数“WnetEnum.CachedPasswords”（存在于Windows

95/98/Me版本的Mpr.dll文件中）来获取本地电脑上使用的密码，这些密码包括Modem拨

号密码、URL网络连接密码、共享密码及其他类型的密码。

一旦密码被窃，结果就可想而知

了。

3．为了在机器启动时自动运行，木马会添加键值OsaRun（木马文

件名）到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Run中。

4．另外，此木马会尝试获取连接进程的当前状态。

假如成功找到一个已建立的连接，它

会利用该连接并通过自带的SMTP引擎给指定地址发送含有密码信息的电子邮件。

■击溃木马

1．这个木马程序能够很快就进入了我们的机器，主要是因为我们对病毒防范的疏漏。

如

果在运行电脑时将病毒防火墙启动起来，而且注意定时升级，感染的机会就很小了。

对于匿

名邮件，我们不要随便运行，要确定没有病毒的情况下才能够运行。

如果不放心的话，那么

直接将其删除。

2．在已经启动杀毒软件扫描的情况下，检查自己的硬盘是否已经存在了一个名字为

PWStealKaylo的病毒，如果存在的话，那么表明已经中了此病毒．

3．查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current

Version\Run中的键值是否为OsaRun，如果是的话，那么也说明已经中

了此病毒。

4．利用专门查杀木马的软件。

5．用更改注册表的方法来解决。

运行注册表编辑器，将HKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的OsaRun这

个键值删除即可。

6．利用杀毒软件，首先升级病毒库，然后进行查毒和杀毒操作。

7.1.11围剿Win2000密码大盗

在Windows2000或者是WindowsXP中，想要获得系统的控制权，就必须先得到管理

员的账号和密码。

于是盗取账号密码木马便随之产生了，最典型的如Win2kpass（也称

Win2000密码大盗），这个木马不但能获取机器管理员的权限，连登录过本机的所有用户和密

码也都不放过。

184

曝光黑客曝光黑客

■木马原理

1．当运行Win2kpass.exe这个木马之后，你会发现该文件已经不见了。

然后重新启动

电脑，这时我们会发现在系统的用户账号中多了一个stgzs的普通用户，它的登录密码默认为

stg2s。

这个用户具有远程访问功能，也就是说，它可通过拨号远程进入系统。

2．该木马还会在X\Winnt\temp\的目录下建立一个名为config.ini的文本文件（X为你

的系统安装的磁盘分区号）。

登录到该电脑上所输入的用户名、登录密码，木马都会一一记下并

存放在这个文件里（还加上了登录的时间）。

这样，只要打开文件便可知道所有登录者及密码。

3．木马会自动共享X\Winnt\temp目录，这样在局域网中就可直接打开config.ini这个

文件了。

4．同时最新版本的Win2kpass还增加了自卫保护功能，防止非法删除，除非用专门的

清除程序，否则是没有办法删除的。

■击溃木马

这个木马用普通的方法是无法清除的，我们必须先获得一个Win2000密码大盗专杀工具：

CIsWin2k。

1．直接运行该软件即能自动清除Win2kpass，当系统重新启动之后，你还必须做以下工

作。

2．在用户管理器中删除用户stgzs，并且删除X：

\Winnt\temp\的Config.ini文件，取

消Temp共享目录即可。

7.1.12危险的灰鸽子

灰鸽子听起来像一个游戏软件，但是它却是能与冰河相提并论的可怕木马程序。

它能在

Windows98/Me/NT/2000系统中运行，并有独立的客户和服务器端程序。

185

CChhaapptteerr77木马清除不求人

■击溃木马

1．删除灰鸽子服务端程序

由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入

纯DOS状态删除。

删除命令如下：

cdc:

\windOWS\SV5tem

attrib-r-s-hkernel32.exe

attrib-r-s-hnotepod.exe

delkernel32.exe

delnotepod.exe

注意：

如果灰鸽子服务端设置了EXE文件关联的话，将会导致注册表编辑器无法运行。

所以，在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命

令如下：

renc:

\windows\regedit.exe

2．删除注册表中的启动键。

由于我们更改了注册表编辑器名称，所以要打开注册表编辑器。

（1）执行“开始”菜单中的“运行”命令，然后输入“regedit”。

（2）启动注册表编辑器后，依次打开HKEY_LOCAL_MACHINE\software\Microsoft\

Windows\CurrentVersion\Run，在右边的窗口中删除名称为“Loadwindows”的

键值就可以了。

3．清除文件关联

灰鸽子可以设置4种文件关联：

exe、txt、i