荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: sonicboy (sonicboy), 信区: Security
标 题: 防范和检测木马
发信站: 荔园晨风BBS站 (Fri Oct 18 22:39:28 2002), 转信
在使用计算机的过程中您可能遇到过如下情况: 计算机反应速度发生了明显变化,
硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口
被莫名其妙地打开,网络传输指示灯一直在闪烁……这些不正常现象表明: 您的计
算机中了木马病毒。
木马的全称是“特洛依木马”,它们一般以寻找后门、窃取密码为主。统计表
明,现在木马在病毒中所占的比例已经超过了四分之一,而在去年涌起的病毒潮中
,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病
毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上
网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取
密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修
改资料等操作。著名的“红色代码”和前不久出现的“坏透了”病毒都属于木马病
毒。木马是一种破坏力十分强的黑客工具,那么如何检测木马的存在,并彻底清除
它们呢?下面介绍几种防范和清除手段。
方法 通过启动方式
由于木马的隐蔽性非常强,在电脑开机的时候一般都会自动加载,在启动之后
大部分还会更改文件名,因此从Windows系统自动加载文件的方式入手来分析木马
的存在并清除就很有意义。木马自动加载的方法和存放的位置比较多,下面结合具
体的实例来分析木马的启动并提出常见的木马清除方法。
1.从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添
加的,一般都会放在主菜单的“开始->程序->启动”处,在Win98资源管理器里的
位置是“C:windowsstart menuprograms启动”处。通过这种方式使文件自动加载
时,一般都会将其存放在注册表中下述4个位置上:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerShell Folders
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionexplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionexplorerShell Folders
通过这种方式实现木马自动加载时,如果是在Win98系统下还可以直接运行
Msconfig命令在“启动”处查看,下边将要涉及的system.ini、win.ini、
autoexec.bat等文件也都可以用这个命令来查看。
通过菜单启动最典型的木马例子是“求职信” (W97M_Resume.A)病毒,这种
新病毒除了试图自动发出邮件实现连环感染之外,还会删除磁盘中的全部文件,带
这种病毒的信件标题为:Resume-Janet Simons,带有附件Explorer.doc,用户一
旦执行附加文件,即会遭到病毒传染。如果将其手工清除,除了需要删除该病毒文
件之外,还需要做以下工作:
(1)检查cATAnormal.dot,直接删除该文件。
(2)如果 C:windowsstartmenuprograms
startup目录下有explorer.doc这个文件,删除它。
2. 通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和
system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本
打开。可以通过修改win.ini文件中windows节 的“load=file.exe ,run=file.
exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情
况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。如果此
处修改成其他的可执行文件就可以实现木马的加载,例如“妖之吻”病毒,电脑每
次启动后就自动运行程序yzw.exe,修改的方法是编辑 system.ini,将“
shell=yzw.exe”还原为“shell=explorer.exe”就可以了。
前不久发生的TROJ_BADTRANS.A病毒,也是通过E-mail传递的,它能将木马种
到用户的计算机中以窃取用户的资料,会更新win.ini以便在下一次重新开机时执
行。执行清除的步骤如下:
(1)在DOS命令行中输入win.ini并运行。
(2)将win.ini文本文件中:RUN=“C:%WINDIR%INETD.EXE”这行删除,仅保
留“run=”。
(3)启动病毒查杀软件,将查找出的带有TROJ_BADTRANS.A病毒的文件删除
。
3. 通过在注册表中实现。木马只要被加载,尽管有可能会隐藏得比较好,但
一般都会在注册表中留下痕迹。一般来说,木马在注册表中自动加载的实现是在
HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersion下的RunServices、RunServicesOnce、Run
、RunOnce等子键,以及 HKEY_CURRENT_USERSoftware
MicrosoftWindowsCurrentVersion下的Run、RunOnce、RunServices等子键处
。
此外在注册表中的HKEY_CLASSES_ROOT
exefileshellopencommand=““%1” %*”处,如果其中的“%1”被修改为木
马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就
是将TXT文件的Notepad.exe改成了它自己的启动文件,每次打开记事本时就会自动
启动冰河木马,做得非常隐蔽。
TROJ_NAVIDAD.A就是通过上述方式启动的,它以E-mail夹带附件“NAVIDAD.
EXE”进行散播。如果执行该附件,电脑就会中毒,该病毒会将自己转发给电脑通
讯录里所有的好友名单,并修改Windows的注册表。这种方式的木马如果手工清除
,步骤如下:
(1)键入DOS命令以重新命名regedit.exe为 regedit.com(本步骤可选)。
(2)运行注册表程序,找到下列键值 :
HKEY_CLASSES_ROOT exefileshellopencommand。
(3)在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”
%*” where %windir%”中““%1”%*”以外部分删除。
(4)同步骤 2,进入以下注册表的值:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun。
(5)选择Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ,并删除。
(6)进入DOS模式,重新命名regedit.com为 regedit.exe。
(7)用查毒软件在硬盘上查找所有含TROJ_
NAVIDAD.A病毒的文件,不管是否为隐含文件,一律删除。
4. 通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这
种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与
此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.
ini中如果Rename节有如下内容: NUL=c:windowspicture.exe,该语句将 c:
windowspicture.exe发往 NUL, 这就意味着原来的文件pictrue.exe已经被删除,
因此它运行起来就格外隐蔽。
5. Autoexec.bat。这是木马在DOS模式下每次自动加载的方法,例如恋爱配对
病毒转寄的邮件主题为“Matcher”,而附件文件名则为“matcher.EXE”。手工清
除该木马可以按照如下步骤进行:
(1)执行regedit命令并将HKEY_LOCAL_
MACHINESoftwareMicrosoftWindows
CurrentVersionRun的值“C:%winsys%matcher.exe”删除。
(2)打开autoexec.bat文件 ,将下列内容删除并存盘:
echo off
echo from: Bugger
pause
(3)在电脑上用查毒软件查找带有troj_macher.a病毒的文件并将其删除。
6. 利用Explorer来加载文件。在Windows 95/98和Windows ME系统中,
Explorer作为Windows图形界面的命令解释器,每次在系统启动时加载,
Explorer.exe的加载是通过system.ini文件来进行的。system.ini文件在配置中本
身没有提供路径信息,因此如果 c:explorer.exe存在,那么将直接运行它,否则
就会去执行 c:$winpathexplorer.exe。而对于Windows NT/2000系统来说,首先要
“请示”Windows的注册表 HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell来决定Windows
管理系统必须加载的文件名,在缺省情况下 ,这个加载的文件就是 Explorer.
exe。
一般情况下,如果木马安装在 c:explorer下,就不需要任何的键值和开始程
序。如果c:explorer.exe是一个被绑定或者异常的文件,由于系统开始就会首先加
载这个文件,因此用户就可能被感染。
7. 隐藏文件后缀名。在Windows系统注册表中的HKEY_LOCAL_MACHINESoftware
CLASSESShellScrap下有一个键的名称是“NeverShowExt”,此处
NeverShowExt键的主要功能就是隐藏真正的文件后缀名。一个文件名为“Girl.
jpg.shs”的文件,很可能在所有的程序中显示为“Girl.jpg”,甚至包括在
explorer中。如果注册表中包含NeverShowExt这样的键值,简单的方法就是删除这
个键值以便显示所有真正的文件后缀名,这样就防止了木马改名的可能性。
需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为
对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如
果发现错误,可以将备份的注册表文件导入到系统中进行恢复。
方法 通过网络连接或者系统进程
1.通过网络连接
由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就
可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。
一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将
看不到什么信息,此时可以使用“netstat -a”,“-a”选项用以显示计算机中目
前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行
任何网络服务的操作,那么在监听该端口的很可能是木马。
2.通过系统进程
木马即使再狡猾,它也是一个活动着的应用程序,一经运行,它就时刻驻留在
电脑系统的内存中,通过查看系统进程可发现可疑进程,并以此来推断木马的存在
。
在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在
运行的全部进程,一一清查即可发现木马的活动进程。
在Win98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用
,下面是比较著名的两款工具,一个是Prcview,它非常小巧,不到90KB,功能却
很强大,是一个免费的绿色软件,它的下载地址为http://www.onlinedown.
net/down/PrcView.htm。另外一款工具名为winproc,功能也比较齐全,下载地点
http://www.apchwin.com。这两款软件的使用很容易,这里不做详细介绍。
通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,
因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这
个时候眼睛一定要擦亮,不过木马总是可以通过这种方法被检测出来的。
方法 直接使用杀毒软件
上面介绍的方法都是手工方式来检测或者清除木马,但一般情况下木马没有那
么容易就能发现,好在已经有了不少的反木马软件。查杀木马比较有效的软件主要
有以下几类,简单介绍如下:
1. 常用的杀病毒工具软件。木马从某种意义上来说也是一种病毒,我们常用
的病毒防护软件也都可以实现对木马的查杀,这些病毒防护软件包括KV3000,
Kill3000、瑞星等,这类软件查杀其他病毒很有效,对木马的检查也比较成功,但
彻底地清除不很理想,因为一般情况下木马在电脑每次启动时都会自动加载,而杀
病毒软件却不能完全清除木马文件,总的说来,杀病毒软件作为防止木马的入侵来
说更有效。
2. 常用的网络防火墙软件。现在的网络防火墙软件比较多,常见的如国外的
Lockdown,国内的天网、金山网镖等。以“天网防火墙个人版”为例,防火墙启动
之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显
示出对方的IP地址、接入端口等提示信息,通过手工设置之后即可使对方无法进行
攻击。
利用防火墙来实现对木马的查杀,只能检测发现木马并加以预防攻击,但不能
彻底清除它。
3. 专用的木马查杀软件。我们对木马不能只采用防范手段,还要将其斩草除
根、彻底地清除,专用的木马查杀软件一般都带有这些特性,这类软件目前也比较
多,比如:The Cleaner、木马克星、木马终结者等。
方法 预防
随着网络的普及,木马的传播越来越快,而且新的变种层出不穷,我们在检测
清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。
1. 不要执行任何来历不明的软件
很多木马病毒都是通过绑定在其他的软件中来实现传播的,一旦运行了这个被
绑定的软件就会被感染,因此在下载软件的时候需要特别注意,一般推荐去一些信
誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀
木马的软件来进行检查,确定无毒后再使用。
2. 不要随意打开邮件附件
现在绝大部分木马病毒都是通过邮件来传递的,而且有的还会连环扩散,因此
对邮件附件的运行尤其需要注意。
3. 重新选择新的客户端软件
很多木马病毒主要感染的是Microsoft的OutLook和OutLook Express的邮件客
户端软件,因为这两款软件全球使用量最大,黑客们对它们的漏洞已经洞察得比较
透彻。如果选用其他的邮件软件,例如Foxmail等,收到木马病毒攻击的可能性就将
减小,至少不会反复感染给通讯录中的好友。 此外也可以直接通过Web方式来访问
信箱,这样就能大大降低木马病毒的感染概率。
4. 将资源管理器配置成始终显示扩展名
将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、
pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引
起注意。
5. 尽量少用共享文件夹
如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文件夹,把
所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享
。
6. 运行反木马实时监控程序
木马防范重要的一点就是在上网时最好运行反木马实时监控程序,The
Cleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如
加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
7. 经常升级系统
很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在
第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范
办法。
--
HIHI!I AM SONICBOY,MY QQ IS 28860.MY BBS : http://waterclub.126.com
http://www.yesdong.com/bbs and http://www.mkx.com
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 218.17.62.14]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店