木马的检测、清除及其预防(一)启动
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马的检测、清除及其预防(一)启动
在使用计算机的过程中您可能遇到过如下情况: 计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁……这些不正常现象表明: 您的计算机中了木马病毒。
木马的全称是“特洛依木马”,它们一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在去年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。著名的“红色代码”和“坏透了”病毒都属于木马病毒。木马是一种破坏力十分强的黑客工具,那么如何检测木马的存在,并彻底清除它们呢?下面介绍几种防范和清除手段。
方法通过启动方式
由于木马的隐蔽性非常强,在电脑开机的时候一般都会自动加载,在启动之后大部分还会更改文件名,因此从Windows系统自动加载文件的方式入手来分析木马的存在并清除就很有意义。木马自动加载的方法和存放的位置比较多,下面结合具体的实例来分析木马的启动并提出常见的木马清除方法。
1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处,在Win98资源管理器里的位置是“C:windowsstart menuprograms 启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:
indowsCurrentVersionexplorerUser Shell Folders
通过这种方式实现木马自动加载时,如果是在Win98系统下还可以直接运行Msconfig命令在“启动”处查看,下边将要涉及的system.ini、win.ini、autoexec.bat等文件也都可以用这个命令来查看。
通过菜单启动最典型的木马例子是“求职信”(W97M_Resume.A)病毒,这种新病毒除了试图自动发出邮件实现连环感染之外,还会删除磁盘中的全部文件,带这种病毒的信件标题为:Resume-Janet S imons,带有附件Explorer.doc,用户一旦执行附加文件,即会遭到病毒传染。如果将其手工清除,除了需要删除该病毒文件之外,还需要做以下工作:
(1)检查DATAnormal.dot,直接删除该文件。
(2)如果C:windowsstartmenuprograms
目录下有explorer.doc这个文件,删除它。
、通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中wind ows节的“load=file.exe ,run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的b oot节,正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。如果此处修改成其他的可执行文件就可以实现木马的加载,例如“妖之吻”病毒,电脑每次启动后就自动运行程序yzw. exe,修改的方法是编辑system.ini,将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。
前不久发生的TROJ_BADTRANS.A病毒,也是通过E-mail传递的,它能将木马种到用户的计算机中以窃取用户的资料,会更新win.ini以便在下一次重新开机时执行。执行清除的步骤如下:
(1)在DOS命令行中输入win.ini并运行。
(2)将win.ini文本文件中:RUN=“C:%WINDIR%INETD.EXE”这行删除,仅保留“run=”。
(3)启动病毒查杀软件,将查找出的带有TROJ_BADTRANS.A病毒的文件删除。
、通过在注册表中实现。木马只要被加载,尽管有可能会隐藏得比较好,但一般都会在注册表中留下痕迹。一般来说,木马在注册表中自动加载的实现是在HKEY_LOCAL_MACHINESoftware
下的RunServices、RunServicesOnce、Run、RunOnce 等子键,以及HKEY_CURRENT_USERSoftware
Version下的Run、RunOnce、RunServices等子键处。
此外在注册表中的HKEY_CLASSES_ROOT
处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。
TROJ_NAVIDAD.A就是通过上述方式启动的,它以E-mail夹带附件“NAVIDAD.EXE”进行散播。如果执行该附件,电脑就会中毒,该病毒会将自己转发给电脑通讯录里所有的好友名单,并修改Window s的注册表。这种方式的木马如果手工清除,步骤如下:
(1)键入DOS命令以重新命名regedit.exe为(本步骤可选)。
(2)运行注册表程序,找到下列键值:
HKEY_CLASSES_ROOT exefileshellopencommand。
(3)在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”%*” where %w indir%”中““%1”%*”以外部分删除。
(4)同步骤2,进入以下注册表的值:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun。
(5)选择Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ,并删除。
(6)进入DOS模式,重新命名为regedit.exe。
(7)用查毒软件在硬盘上查找所有含TROJ_
病毒的文件,不管是否为隐含文件,一律删除。
、通过windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容:
NUL=windowspicture.exe,该语句将windowspicture.exe发往NUL, 这就意味着原来的文件p ictrue.exe已经被删除,因此它运行起来就格外隐蔽。
、Autoexec.bat。这是木马在DOS模式下每次自动加载的方法,例如恋爱配对病毒转寄的邮件主题为“Matcher”,而附件文件名则为“matcher.EXE”。手工清除该木马可以按照如下步骤进行:
(1)执行regedit命令并将HKEY_LOCAL_
MACHINESoftwareMicrosoftWindows
CurrentVersionRun的值“C:%winsys%matcher.exe”删除。
(2)打开autoexec.bat文件,将下列内容删除并存盘:
echo off
echo from: Bugger
pause
(3)在电脑上用查毒软件查找带有troj_macher.a病毒的文件并将其删除。