荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: michaelx (3天考5科死紧?), 信区: Virus
标 题: 黑洞2000的原理!
发信站: 荔园晨风BBS站 (Sat Jun 30 17:37:20 2001), 转信
Part 1.原理
要想彻底清除一个木马,当然要了解它的感染过程.大家准备好未?
如过你急切想清除黑洞2000请跳过次part.不过我还是建议你看看.因
为,我是先给自己中了这只木马,之后才去一步一步的分析!才知道黑洞
2000的原理!
假设服务端的文件名叫S_Server.exe,问中runwinvxd.exe是默认的,
两个文件都可以改名!
[1]当你运行了它后,他会在\system\那里生成一个runwinvxd.exe
并运行.这时你已经中了木马拉!恭喜!
[2]S_server.exe还会把system.ini的[boot]那里的shell=
Explorer.exe改成
shell=Explorer.exe runwinvxd.exe.
哈哈,原来在这里运行了!
不仅,这样.它还会修改注册表!
\HKEY_CLASSES_ROOT\txtfile\shell\open\command
在这里有个"默认"键值是"S_server.exe "%1""
够绝吧!怕你del左runwinvxd.exe.当你看txt时,又会生成
runwinvxd.exe.
[2]之后,runwinvxd.exe,它会开两个端口1415和2000(2000是默认的
可以改,不过1415是不能改的!)
1415是给客户端用的,主要作用是:当客户端发出请求时,服务端会
返回服务端的端口值2000.这样客户端就可以知道端口是2000了!
2000是用来控制服务端用的.
Part 2.清除
知道了原理,当然要清除木马拉.
Step 1.打开运行msconfig,找到system.ini中的shell=
Explorer.exe XXX.exe,记下XXX.exe的名(等阵有用!)
改成shell=Explorer.exe
Step 2.运行regedit,在\HKEY_CLASSES_ROOT\txtfile\shell
\open\command那里把"YYY.exe "%1""改成
notepad.exe "%1"(当然你也可以改成别的)
把YYY.exe这个文件删掉!
Step 3.reboot
Step 4.删掉XXX.exe.
哎~~~,搞了半天终于搞定了!
虽然,可以用客户端来远程卸载,不过设了密码时就不行了!
_____________________
copyright by michaelx
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 202.96.134.135]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店