● WAY2.4（火凤凰、无赖小子） - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (祝你考试顺利^_^), 信区: Virus
标  题: WAY2.4（火凤凰、无赖小子）
发信站: 荔园晨风BBS站 (Sat Dec  8 20:01:25 2001), 站内信件

　　WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多
木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此
它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色
，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的
冰河强多了，冰河的注册表操作没有这么直观——每次我都得一个字符、一个字符
的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。

　　WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是
文本文件的图标，很隐蔽，文件大小235,008字节，文件修改时间1998年5月30日，
看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串
值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具
查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！

　　清除方法：

　　要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的
msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉
的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除
msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可
执行文件也删除了！

　　在删除前请做好备份。

--
                                                                    │
  ◎┌───────────────────────────────┼──
    │    匆匆的大学生活  匆匆的聚会  还有匆匆的歌声                │
    │    朋友你可曾记得  我们曾经的那段快乐的时光和彼此的约定      │
──┼───────────────────────────────┴──
    │

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店