九大流行木馬的清除

[CENTER][B]九大流行木馬的清除[/B][/CENTER]
[I]秋哥 發表於 2006-5-23 9:14:00[/I]
  
網路公牛（Netbull）
　　網路公牛又名Netbull，是國產木馬，默認連接埠23444，最新版本V1.1。服務端程序newserver.exe運行后，會自動脫殼成 checkdll.exe，位於C:\WINDOWS\SYSTEM下，下次開機checkdll.exe將自動運行，因此很隱蔽、危害很大。同時，服務端運行後會自動捆綁以下文件:  

win9x下：捆綁notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe；

winnt/2000下：(在2000下會出現文件改動報警,但也不能阻止以下文件的捆綁)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

服務端運行后還會捆綁在開機時自動運行的第三方軟體(如:realplay.exe、QQ、ICQ等)上。在註冊表中網路公牛也悄悄地紮下了根，如下：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=
"C:\WINDOWS\SYSTEM\CheckDll.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=
"C:\WINDOWS\SYSTEM\CheckDll.exe"

在我看來，網路公牛是最討厭的了。它沒有採用文件關聯功能，採用的是文件捆綁功能，和上面所列出的文件捆綁在一塊，要清除非常困難！你可能要問：那麼其它木馬為什麼不用這個功能？哈哈，其實採用捆綁方式的木馬還有很多，並且這樣做也有個缺點：容易暴露自己！只要是稍微有經驗的用戶，就會發現文件長度發生了變化，從而懷疑自己中了木馬。

清除方法：

　1、刪除網路公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。

　　2、把網路公牛在註冊表中所建立的鍵值全部刪除（上面所列出的那些鍵值全部刪除）

　　3、檢查上面列出的文件，如果發現文件長度發生變化（大約增加了40K左右，可以通過與其它機子上的正常文件比較而知），就刪除它們！然後點擊「開始－>附件－>系統工具－>系統信息－>工具－>系統文件檢查器」，在彈出的對話框中選中「從安裝軟盤提取一個文件 (E)」，在框中填入要提取的文件(前面你刪除的文件)，點「確定」按鈕，然後按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟體如: realplay.exe、QQ、ICQ等被捆綁上了，那就得把這些文件刪除，再重新安裝。


網路神偷（Nethief）

　　網路神偷又名Nethief，是第一個反彈埠型木馬！

　　什麼叫「反彈埠」型木馬呢？作者經過分析防火牆的特性后發現：大多數的防火牆對於由外面連入本機的連接往往會進行非常嚴格的過濾，但是對於由本機連出的連接卻疏於防範（當然也有的防火牆兩方面都很嚴格）。於是，與一般的木馬相反，反彈埠型木馬的服務端(被控制端)使用主動埠，客戶端(控制端)使用被動埠，當要建立連接時，由客戶端通過FTP主頁空間告訴服務端：「現在開始連接我吧！」，並進入監聽狀態，服務端收到通知后，就會開始連接客戶端。為了隱蔽起見，客戶端的監聽埠一般開在80，這樣，即使用戶使用埠掃描軟體檢查自己的埠，發現的也是類似「TCP　服務端的IP地址:1026　客戶端的IP地址:80 ESTABLISHED」的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁。防火牆也會如此認為，我想大概沒有哪個防火牆會不給用戶向外連接80埠吧，

　　嘿嘿。最新線報：目前國內木馬高手正在大規模試驗(使用)該木馬，網路神偷已經開始流行！中木馬者也日益增多，大家要小心哦！

清除方法：

　　1、網路神偷會在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立鍵值「internet」，其值為"internet.exe /s"，將鍵值刪除；

　　2、刪除其自啟動程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

　　OK，神偷完蛋了！


WAY2.4（火鳳凰、無賴小子）

　WAY2.4又稱火鳳凰、無賴小子，是國產木馬程序，默認連接埠是8011。眾多木馬高手在介紹這個木馬時都對其強大的註冊表操控功能讚不絕口，也正因為如此它對我們的威脅就更大了。從我的試驗情況來看，WAY2.4的註冊表操作的確有特色，對受控端註冊表的讀寫，就和本地註冊表讀寫一樣方便！這一點可比大家熟悉的冰河強多了，冰河的註冊表操作沒有這麼直觀--每次我都得一個字元、一個字元的敲擊出來，WAY2.4在註冊表操控方面可以說是木馬老大。  

　　WAY2.4服務端被運行后在C:\windows\system下生成msgsvc.exe文件，圖標是文本文件的圖標，很隱蔽，文件大小 235,008位元組，文件修改時間1998年5月30日，看來它想冒充系統文件msgsvc32.exe。同時，WAY2.4在註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值 Msgtask，其鍵值為C:\WINDOWS\SYSTEM\msgsvc.exe。此時如果用進程管理工具查看，你會發現進程C:\windows\ system\msgsvc.exe赫然在列！

清除方法：

　　要清除WAY，只要刪除它在註冊表中的鍵值，再刪除C:\windows\system下的msgsvc.exe這個文件就可以了。要注意在 Windows下直接刪除msgsvc.exe是刪不掉的，此時你可以用進程管理工具終止它的進程，然後再刪除它。或者到Dos下刪除 msgsvc.exe也可。如果服務端已經和可執行文件捆綁在一起了，那就只有將那個可執行文件也刪除了！ 　　

在刪除前請做好備份

冰 河

　　冰河可以說是最有名的木馬了，就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟體可以查殺它，但國內仍有幾十萬中冰河的電腦存在！作為木馬，冰河創造了最多人使用、最多人中彈的奇迹！現在網上又出現了許多的冰河變種程序，我們這裡介紹的是其標準版，掌握了如何清除標準版，再來對付變種冰河就很容易了。  　　

冰河的伺服器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接埠為7626。一旦運行G-server，那麼該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe，並刪除自身。Kernel32.exe在系統啟動時自動載入運行，sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe，但只要你打開TXT文件， sysexplr.exe就會被激活，它將再次生成Kernel32.exe，於是冰河又回來了！這就是冰河屢刪不止的原因。

　　清除方法：

　　1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

　　2、冰河會在註冊表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion
\Run下紮根，鍵值為C:\windows\system\Kernel32.exe，刪除它。

　　3、在註冊表的HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，還有鍵值為C:\windows\system\Kernel32.exe的，也要刪除。

　　4、最後，改註冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認值，由中木馬後的C:\ windows\system\Sysexplr.exe %1改為正常情況下的C:\windows\notepad.exe %1，即可恢復TXT文件關聯功能。


廣外女生

　　廣外女生是廣東外語外貿大學「廣外女生」網路小組的處女作，是一種新出現的遠程監控工具，破壞性很大，遠程上傳、下載、刪除文件、修改註冊表等自然不在話下。其可怕之處在於廣外女生服務端被執行后，會自動檢查進程中是否含有「金山毒霸」、「防火牆」、「iparmor」、「tcmonitor」、「實時監控」、「lockdown」、「kill」、「天網」等字樣，如果發現就將該進程終止，也就是說使防火牆完全失去作用！ 　　

該木馬程序運行后，將會在系統的SYSTEM目錄下生成一份自己的拷貝，名稱為DIAGCFG.EXE，並關聯.EXE文件的打開方式，如果貿然刪掉了該文件，將會導致系統所有.EXE文件無法打開的問題。

清除方法：

　　1、由於該木馬程序運行時無法刪除該文件，因此啟動到純DOS模式下，找到System目錄下的DIAGFG.EXE，刪除它

　　2、由於DIAGCFG.EXE文件已經被刪除了，因此在Windows環境下任何.exe文件都將無法運行。我們找到Windows目錄中的註冊表編輯器「Regedit.exe」，將它改名為「Regedit.com」；

　　3、回到Windows模式下，運行Windows目錄下的Regedit.com程序（就是我們剛才改名的文件）；

　　4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，將其默認鍵值改成"%1" %*；

　　5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ RunServices，刪除其中名稱為「Diagnostic Configuration」的鍵值；

　　6、關掉註冊表編輯器，回到Windows目錄，將「Regedit.com」改回「Regedit.exe」。

　　7、完成。


聰明基因

　　聰明基因也是國產木馬，默認連接埠7511。服務端文件genueserver.exe，用的是HTM文件圖標，如果你的系統設置為不顯示文件擴展名，那麼你就會以為這是個HTM文件，很容易上當哦。客戶端文件genueclient.exe 。如果不小心運行了服務端文件 genueserver.exe，它會裝模作樣的啟動IE，讓你進一步以為這是一個HTM文件，並且還在運行之後生成GENUESERVER.htm文件，還是用來迷惑你的！怎麼樣，是不是無所不用其極？

　　哈哈，木馬就是如此，騙你沒商量！聰明基因是文件關聯木馬，服務端運行後會生成三個文件，分別是：C:\WINDOWS\ MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，這三個文件用的都是HTM文件圖標，如果不注意，還真會以為它們是HTM文件呢！

　　Explore32.exe用來和HLP文件關聯，MBBManager.exe用來在啟動時載入運行，editor.exe用來和TXT文件關聯，如果你發現並刪除了MBBManager.exe，並不會真正清除了它。一旦你打開HLP文件或文本文件，Explore32.exe和 editor.exe就被激活！它再次生成守護進程MBBManager.exe！想清除我？沒那麼容易！

　　聰明基因最可怕之處是其永久隱藏遠程主機驅動器的功能，如果控制端選擇了這個功能，那麼受控端可就慘了，想找回驅動器？嘿嘿，沒那麼容易！

清除方法：

　　1.刪除文件。刪除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再刪除C:\WINDOWS\system 下的editor.exe文件。如果服務端已經運行，那麼就得用進程管理軟體終止MBBManager.exe這個進程，然後在windows下將它刪除。也可到純DOS下刪除MBBManager.exe，editor.exe在windows下可直接刪除。

　　2. 刪除自啟動文件。展開註冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run下，刪除鍵值「MainBroad BackManager」，其值為C:\WINDOWS\ MBBManager.exe，它每次在開機時就被載入運行，因此刪之別手軟！ 　　

3.恢復TXT文件關聯。聰明基因將註冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認鍵值由 C:\WINDOWS\NOTEPAD.EXE %1改為C:\WINDOWS\system\editor.exe %1，因此要恢復成原值。同理，到註冊表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，將此時的默認鍵值由C:\WINDOWS\system\editor.exe %1改為C:\WINDOWS\NOTEPAD.EXE %1，這樣就將TXT文件關聯恢復過來了。 　　

4.恢復HLP文件關聯。聰明基因將註冊表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默認鍵值改為 C:\WINDOWS\explore32.exe %1，因此要恢復成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到註冊表的 HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，將此時的默認鍵值由C:\WINDOWS\explore32.exe %1改為C:\WINDOWS\WINHLP32.EXE %1，這樣就將HLP文件關聯恢復過來了。

　　好了，可以和聰明基因說「再見」了！

黑洞2001

　　黑洞2001是國產木馬程序，默認連接埠2001。黑洞的可怕之處在於它有強大的殺進程功能！也就是說控制端可以隨意終止被控端的某個進程，如果這個進程是天網之類的防火牆，那麼你的保護就全無了，黑客可以由此而長驅直入，在你的系統中肆意縱橫。

　　黑洞2001服務端被執行后，會在c:\windows\system下生成兩個文件，一個是S_Server.exe，S_Server.exe的是服務端的直接複製，用的是文件夾的圖標，一定要小心哦，這是個可執行文件，可不是文件夾哦；另一個是windows.exe，文件大小為255,488 位元組，用的是未定義類型的圖標。黑洞2001是典型的文件關聯木馬，windows.exe文件用來機器開機時立刻運行，並打開默認連接埠2001， S_Server.exe文件用來和TXT文件打開方式連起來(即關聯)！當中木馬者發現自己中了木馬而在DOS下把windows.exe文件刪除后，服務端就暫時被關閉，即木馬暫時刪除，當任何文本文件被運行時，隱蔽的S_Server.exe木馬文件就又被擊活了，於是它再次生成 windows.exe文件，即木馬又被中入！

清除方法：

　　1)、將HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE %1改為C:\WINDOWS\NOTEPAD.EXE %1

　　2)、將HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE %1改為C:\WINDOWS\NOTEPAD.EXE %1

　　3)、將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows刪除。

　　4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主鍵刪除。  　　5、到C:\WINDOWS\SYSTEM下，刪除windows.exe和S_Server.exe這兩個木馬文件。要注意的是如果已經中了黑洞 2001，那麼windows.exe這個文件在windows環境下是無法直接刪除的，這時我們可以在DOS方式下將它刪除，或者用進程管理軟體終止 windows.exe這個進程，然後再將它刪除。

　　至此就安全的清除黑洞2001了。


Netspy（網路精靈）

　　Netspy又名網路精靈，是國產木馬，最新版本為3.0，默認連接埠為7306。在該版本中新添加了註冊表編輯功能和瀏覽器監控功能，客戶端現在可以不用NetMonitor，通過IE或Navigate就可以進行遠程監控了！其強大之處絲毫不遜色於冰河和BO2000！服務端程序被執行后，會在 C:\Windows\system目錄下生成netspy.exe文件。同時在註冊表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion\Run\下建立鍵值C:\windows\system\netspy.exe，用於在系統啟動時自動載入運行。

清除方法：

　　1、重新啟動機器並在出現Staring windows提示時，按F5鍵進入命令行狀態。在C:\windows\system\目錄下輸入以下命令：del netspy.exe 回車！

　　2、進入註冊表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，刪除Netspy的鍵值即可安全清除Netspy。


SubSeven

　　SubSeven的功能比起大名鼎鼎的BO2K可以說有過之而無不及。最新版為2.2(默認連接埠27374)，服務端只有54.5k！很容易被捆綁到其它軟體而不被發現！最新版的金山毒霸等殺毒軟體查不到它。伺服器端程序server.exe，客戶端程序subseven.exe。 SubSeven服務端被執行后，變化多端，每次啟動的進程名都會發生變化，因此查之很難。

　 　　清除方法：

　　1、打開註冊表Regedit，點擊至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run和RunService下，如果有載入文件，就刪除右邊的項目：載入器="c:\windows\system\ ***"。註：載入器和文件名是隨意改變的 www.jz5u.com

　　2、打開win.ini文件，檢查「run=」後有沒有加上某個可執行文件名，如有則刪除之。

　　3、打開system.ini文件，檢查「shell=explorer.exe」後有沒有跟某個文件，如有將它刪除。

　　4、重新啟動Windows，刪除相對應的木馬程序，一般在c:\windows\system下，在我在本機上做實驗時發現該文件名為vqpbk.exe。

thank you

不懂

不知道我機子有沒有啊！