● [转载] 毫无新意的两个木马(转寄) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Mic (酷鱼), 信区: Virus
标  题: [转载] 毫无新意的两个木马(转寄)
发信站: 荔园晨风BBS站 (Thu Oct  4 10:09:01 2001), 转信

【以下文字转载自 Mic 的信箱】
【原文由 Mic@smth.org 所发表】
发信人: blue1 (知足不辱☆只是因为年轻), 信区: Virus
标  题: 毫无新意的两个木马
发信站: BBS 水木清华站 (Tue Oct  2 10:54:00 2001)

毫无新意的两个木马

· ·袁韶伟··yesky

由于两个木马有很多共同之处，所以列在一起作对比。
先看看“蓝色火焰3.0”：
　　在C:\WINDOWS\SYSTEM\下生成三个木马文件tasksvc.exe、sysexpl.exe、bfhook.dll，
前
两者无论大小、图标都和原木马文件一模一样，后者是DLL文件，大小为18 K。
再看看“冰河6.0”：
　　在C:\WINDOWS\SYSTEM\下生成两个木马文件SYSDLL32.exe、Sysexplr.exe，大小都是
270
K，呈无任何关联普通文件的图标状
　　彻查win.ini、system.ini、CONFIG.SYS、AUTOEXEC.BAT，未发现有改动的痕迹；手动
查
找随机启动程序组（包含C:\WINDOWS\All Users\Start Menu\Programs\启动）和
WINSTART.B
AT，也未发现有可疑之处；运行REGEDIT，查找注册表，木马改动如下：
“蓝色火焰3.0”：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Network Services=C:\WINDOWS\SYSTEM\tasksvc.exe————增加
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\sysexpl.exe "%1"————更改
[HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\sysexpl.exe "%1"————更改
“冰河6.0”：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
（默认）=C:\WINDOWS\SYSTEM\SYSDLL32.exe————增加
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
（默认）=C:\WINDOWS\SYSTEM\SYSDLL32.exe————增加
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\Sysexplr.exe "%1"————更改
[HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\Sysexplr.exe "%1"————更改
　　既然知道增加了什么文件，注册表做了哪些改动，一切问题马上迎刃而解。运行
REGEDIT
，更改注册表：
“蓝色火焰3.0”：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Network Services=C:\WINDOWS\SYSTEM\tasksvc.exe————删除
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\sysexpl.exe "%1"
更改为：
NOTEPAD.exe "%1"
“冰河6.0”：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
（默认）=C:\WINDOWS\SYSTEM\SYSDLL32.exe————删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
（默认）=C:\WINDOWS\SYSTEM\SYSDLL32.exe————删除
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
C:\WINDOWS\SYSTEM\Sysexplr.exe "%1"
更改为：
NOTEPAD.exe "%1"
　　最后，将上述所列的5个木马文件SHIFT+DEL，永久性删除。
　　反木马的根本在于不运行来路不明的程序，经常查看MSCONFIG中是否增加莫名其妙的随
机
启动程序，不时以进程管理工具查看是否存在陌生的进程……
　　只有经常保持警惕性，才能安心上网冲浪，免除木马的滋扰和破坏。

--
殊不知人力有时而穷，一心想要“人定胜天”，结果往往饮恨而终。张无忌所以能在半
日之间练成，而许多聪明才智、武学修为远胜于他之人，竭数十年苦修而不能练成者，
其间的分别，便在于一则内力有余，一则内力不足而已。
哪知道张无忌事事不为己甚，适可而止，正应了“知足不辱”这一句话。

※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.163.201]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.55.108]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店