荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: SUPSAM (零零柒), 信区: Virus
标 题: 邂逅广外女生
发信站: 荔园晨风BBS站 (Wed Jul 18 19:34:48 2001), 转信
邂逅"广外女生"
最近,金山毒霸研发部接到许多用户的求救,他们称受到一个木马程序的攻击
,该病毒名为:Trojan.GWGirls10a.192000(金山毒霸命名)又称:"广外女生"。
这是一种新出现的远程监控工具, 破坏性很大,能远程修改注册表。此软件专
门针对金山毒霸和天网防火墙,使二者无法运行。
下面是该软件的使用说明:
广外女生是广东外语外贸大学"广外女生"网络小组的处女作,作为一个远程控
制软件它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装
Winsock2.0的Win95/97上。它的基本功能有:文件管理方面有上传,下载,删除,
改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作方面:全面模拟
WINDOWS的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏
幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方
还可以全屏操作对方的鼠标(包括单击,双击,右键,拖动等);其他功能还有远
程任务管理、邮件IP通知、邮件服务等。 广外女生与其他同类软件相比,其主要
特点是: 服务端程序体积小,大家熟悉的"X河"是260多KB,而广外女生只有96KB
!! 服务端占用系统资源少,最多时只占用3M的内存,不会影响服务端计算机的
速度。 隐蔽性好,不容易被发现。 能利用WINDOWS的漏洞使中国国内流行的"X网
防火墙"和"XXX霸"失去作用。(不信试试看:)) 注册表编辑及任务管理界面直
观,易于操作。新增功能:自动杀掉含有"XXX霸","防火墙","iparmor",
"tcmonitor","实时监控","lockdown","kill","X网"等字样的窗体进程。阻止最新
版"X网"的运行。全屏操作现在可以使用键盘控制。远程注册表中新添三个根键的
支持。将服务端设置器加在客户端中,减少下载文件大小。经过测试,我们建议邮
件通知使用21cn的邮箱,速度快服务稳定。
避免更多的用户遭受其害,金山毒霸研发部立即对该木马程序进行分析,现提
出以下两种清除方法:
一、 手工清除方法:
该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为
DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸贸然删掉了该文件,将会导致
系统所有.EXE文件无法打开的问题。
1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到
System目录下的DIAGFG.EXE,删除它;
2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将
无法运行。我们找到Windows目录中的注册表编辑器"Regedit.exe",将它改名为
"Regedit.com";
3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改
名的文件);
3、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成
"%1" %*";
4、找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
,删除其中名称为"Diagnostic Configuration"的键值;
5、关掉注册表编辑器,回到Windows目录,将"Regedit.com"改回"Regedit.exe"。
6、完成。
二、金山反病毒研发部门提醒广大用户,及时更新金山毒霸。目前金山毒霸最新版
本为7月12号,病毒库2001.07.11
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.144]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店