● 黑洞2000的原理! - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: michaelx (3天考5科死紧?), 信区: Virus
标  题: 黑洞2000的原理!
发信站: 荔园晨风BBS站 (Sat Jun 30 17:37:20 2001), 转信

Part 1.原理
  要想彻底清除一个木马,当然要了解它的感染过程.大家准备好未?
如过你急切想清除黑洞2000请跳过次part.不过我还是建议你看看.因
为,我是先给自己中了这只木马,之后才去一步一步的分析!才知道黑洞
2000的原理!
  假设服务端的文件名叫S_Server.exe,问中runwinvxd.exe是默认的,
两个文件都可以改名!
  [1]当你运行了它后,他会在\system\那里生成一个runwinvxd.exe
     并运行.这时你已经中了木马拉!恭喜!
  [2]S_server.exe还会把system.ini的[boot]那里的shell=
     Explorer.exe改成
     shell=Explorer.exe runwinvxd.exe.
     哈哈,原来在这里运行了!
     不仅,这样.它还会修改注册表!
     \HKEY_CLASSES_ROOT\txtfile\shell\open\command
     在这里有个"默认"键值是"S_server.exe "%1""
     够绝吧!怕你del左runwinvxd.exe.当你看txt时,又会生成
     runwinvxd.exe.
  [2]之后,runwinvxd.exe,它会开两个端口1415和2000(2000是默认的
     可以改,不过1415是不能改的!)
     1415是给客户端用的,主要作用是:当客户端发出请求时,服务端会
     返回服务端的端口值2000.这样客户端就可以知道端口是2000了!
     2000是用来控制服务端用的.
Part 2.清除
  知道了原理,当然要清除木马拉.
  Step 1.打开运行msconfig,找到system.ini中的shell=
         Explorer.exe XXX.exe,记下XXX.exe的名(等阵有用!)
         改成shell=Explorer.exe
  Step 2.运行regedit,在\HKEY_CLASSES_ROOT\txtfile\shell
         \open\command那里把"YYY.exe "%1""改成
         notepad.exe "%1"(当然你也可以改成别的)
         把YYY.exe这个文件删掉!
  Step 3.reboot
  Step 4.删掉XXX.exe.
  哎~~~,搞了半天终于搞定了!
  虽然,可以用客户端来远程卸载,不过设了密码时就不行了!
_____________________
copyright by michaelx

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 202.96.134.135]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店