科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道七种常见木马的破坏表现及清除(3)

七种常见木马的破坏表现及清除(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
  • 评论
  • 分享微博
  • 分享邮件
    什么叫“反弹端口”型木马呢?与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。

  清除方法:

  1.网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWARE

  MicrosoftWindowsCurrentVersionRun下建立键值“internet”,其值为“internet.exe /s”,将键值删除;

  2.删除其自启动程序C:WINDOWSSYSTEMINTERNET.EXE。

  六、广外女生

  “广外女生”是是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!   

  清除方法:

  1.启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;

  2.我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;

  3.回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);

  4.找到HKEY_CLASSES_ROOT

  exefileshellopencommand,将其默认键值改成"%1" %*;

  5.删除注册表中名称为“Diagnostic Configuration”的键值;

  6.关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。

  七、WAY2.4

  WAY2.4是国产木马程序,默认连接端口是8011。WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!WAY2.4服务端被运行后在C:windowssystem下生成msgsvc.exe文件,图标是文本文件的图标,很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun下建立串值Msgtask。

  清除方法:

  用进程管理工具查看,你会发现进程CWAY,只要删除它在注册表中的键值,再删除C:windowssystem下的msgsvc.exe这个文件就可以了。

  要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了。注意在删除前请做好备份。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章