荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Mic (霸王丸), 信区: Virus
标  题: 一个特洛伊木马的发现和清除
发信站: BBS 荔园晨风站 (Thu Apr  5 18:42:49 2001), 转信

  一个特洛伊木马最近成了我电脑中的不速之客。下面的文字记录了我如何发现
并清楚这个木马的经过。我希望通过与大家分享我的一些经验,对一些电脑用户有
所帮助。

木马的发现:
  一天使用电脑时,我觉得系统的反应有些迟缓,比如鼠标移动会有些轻微跳动
,菜单的弹出比往常稍慢......我很奇怪,于是就打开WinTop(这个工具在本文末
尾会介绍)查看系统当前究竟有哪些程序在运行,是谁占用了我的CPU呢?在我扫了
一下程序列表后,有一个程序引起了我的好奇。

木马的确定:
  这个程序名叫Kernel32.exe,位于C:\Windows\System\目录下。它当时占用了
80%的CPU。我很奇怪,因为我此时没有运行什么如此占用CPU资源的程序,CPU应该
基本处于Idel(空闲)状态下的。而这个程序居然在偷偷地运行,且占用了如此多的
CPU资源!从它的名字看,它似乎是个很重要的程序。但我仍然觉得可疑:我怎么
不记得系统有这个程序呢?

  先不忙作出判断。我又进入了系统配置工具(System Configuration
Utility),到启动(Startup)标签中看看。果然,也有一个名为Kernel32.exe的程
序被加到了启动菜单中,而且它被加载两次!另一个与众不同之处是,路径之前没
有它的简单描述,取而代之的是空白!它是什么时候被加入的呢?我更觉得可疑!
我就把它前面的勾去掉了,然后重新启动。奇怪的是,启动后,它又在运行了。而
且进入刚才的启动菜单查看,它居然自己把勾选中了!看来是个不太友好的程序!

  既然此路不通,我又运行注册表编辑器。找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run子目录,
果然看到了这个程序。这下,我又发现了它的与众不同之处:它没有建立新的子键
,而是加到了Default中(正常情况下,它的值是value not set)!无怪乎我在启动
菜单中去不掉它。真是来者不善,善者不来!毫不犹豫,我就把它给清除了。随后
,我又清除了HKEY_CURRENT_USER相应子键下的值。然后重新启动。这下好了,它
终于停下来,等着我把它删除。

木马的去除:
  这好办,找到它,按住Shift+Del,OK!我为什么刚才不马上把它删除呢?这
是因为它每次启动后都自动运行,我一直删不了它。只有在它不运行时,我才好下
手啊。

  在我将这个特洛伊木马清除后,第二天,一个偶然的机会,在我查看文件类型
时(设置->文件夹->文件类型),发现*.log文件居然已经被关联到这个木马程序,
也就是说,如果我双击*.log文件,我将看不到什么,而一个特洛伊木马已经被启
动了。这太可怕了!还好不是病毒!我现在仍觉得心有余悸。

一些经验:
  诸如鼠标移动困难,菜单的弹出速度变慢等现像,绝对不要掉以轻心!很多木
马程序所占的系统资源很少,如果你没有足够的警惕心,很多抓住木马的机会就会
被错过。当有上述现像发生时,首先要确定系统此时是否应该有程序在后台运行,
比如一些杀毒程序或其他Windows的计划作业等。排除这些因素,你就应该引起警
惕了!

  这个木马程序有一个很不错的名字:Kernel32.exe。Kernel是核心的意思,很
多人会觉得这个程序一定是系统必须的程序而不在意。事实上,有一个叫Kernel32.dll的文
件,两
者仅扩展名不同。它们的脸长得差不多,但实质可是大大不同。后者是系统运行的
重要文件,万万动不得;而前者则是个特洛伊木马,格杀勿论!这也这是很多特洛
伊木马和病毒制造者为骗取受害者信任的惯用伎俩!

  要想知道有哪些程序会在系统启动时被自动加载,请打开始菜单->程序->附件
->系统工具->系统信息,选择工具->系统配置工具,选择启动标签。这里列出了完
整的、在系统启动时会被自动加载的程序清单。你可以很方便地配置它们。也可以
找HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run子目录,
但这种修改注册表的方法只推荐有经验的用户采用。

  很多人都知道,要终止一个运行中的程序,可以按Ctrl+Alt+Del,然后找到该
程序,结束它就行了。可是,有一些程序是不会出现在这个列表里的。懂得编程的
朋友应该知道这不难做到。所以得借助第三方的工具,如WinTop,才能让它们无所
遁形。

  这篇文字的一个重要主角:WinTop,它是什么呢?其实很多朋友不会陌生的。
它是Microsoft Kernel Powertoys中的一个工具。Powertoys大家一定比较熟悉。
在Win95的时代,由于它包含了一系列Win95所没有的增强工具而广受欢迎。而
Kernel Powertoys更是面向高级用户的几个核心增强小工具。由于Microsoft并不
支持这两套小工具以及Windows本身的改进,所以到了Win98时代,它们就淡出江湖
了。但是它们中的一些工具现在仍然很有用,比如这个WinTop,它可以很方便地查
看系统中正在运行的所有程序。虽然它没有终止程序运行这个功能,但它仍然很有
用,尤其是对付特洛伊木马。我相信在很多朋友以前的光盘上一定能找到它的。


  当然,由于木马程序的破坏通常需要里应外合,大多数的木马不如病毒般可怕
。即使运行了,也不一定会对你的机器造成危害。不过,潜在的危害还是有的。比
如,你的上网密码有可能已经跑到别人的收件箱里了!对于上网安全的讨论,这里
就不进一步讨论了。如果感兴趣或有问题,可以到精华区去看看,也可以与我联系


--
赵灵儿低头吟唱着:
        「既不回头,何必不忘;
                若是无缘,何须誓言;
                        今日种种,似水无痕;
                                明夕何夕,君已陌路...。」
                                        说着说着就哭了起来。:~(

※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.28.108]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店