木马防范与清除之网上九大流行木马清除方法

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

木马防范与清除之网上九大流行木马清除方法

2004-11-05 作者：天极网阅读量：

二、网络神偷（Nethief）

网络神偷又名Nethief，是第一个反弹端口型木马！

什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，我想大概没有哪个防火墙会不给用户向外连接80端口吧，

嘿嘿。最新线报：目前国内木马高手正在大规模试验(使用)该木马，网络神偷已经开始流行！中木马者也日益增多，大家要小心哦！

清除方法：

1、网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除；

2、删除其自启动程序C:\WinDOWS\SYSTEM\INTERNET.EXE。

OK，神偷完蛋了！

三、WAY2.4（火凤凰、无赖小子）

WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观--每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。

WAY2.4服务端被运行后在C:\Windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WinDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\Windows\system\msgsvc.exe赫然在列！

清除方法：

要清除WAY，只要删除它在注册表中的键值，再删除C:\Windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！

在删除前请做好备份