» 遊客:  加入 | 登入 (帳號有問題請連絡TWed2k@gmail.com)


 


 TWed2k » 軟體求助討論區 » [問題]請問一下這是什麼木馬 RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 

 
主題: [求助] [問題]請問一下這是什麼木馬   字型大小:||| 
klazid
驢baby


 . 積分: 0
 . 文章: 3
 . 收花: 0 支
 . 送花: 1 支
 . 比例: 0
 . 在線: 1 小時
 . 瀏覽: 0 頁
 . 註冊: 7261
 . 失蹤: 6617
#1 : 2005-7-1 04:00 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
話說小弟今天上網沒做任何動作但卻不斷有資料上傳,於是查了一下注冊表果然發現有個不明程式作崇,但奇怪的是明明檔名為windows.exe且位置在c:\windows\system32裡,但怎麼搜尋就是找不到,也就無法將之刪除,而且內容中的隱藏居然是反白的(請參考圖片),著實怪異,想請問這裡的網友有沒有人知道如何解決的,將這個BMW怪程式趕出電腦。

圖片:
點擊查看全圖

[klazid 在 2005-7-1 04:12 AM 作了最後編輯]


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
NCYU2
驢手小試
等級: 2


今日心情

 . 積分: 8
 . 文章: 114
 . 收花: 28 支
 . 送花: 350 支
 . 比例: 12.5
 . 在線: 24 小時
 . 瀏覽: 1280 頁
 . 註冊: 7384
 . 失蹤: 3874
#2 : 2005-7-3 11:55 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
你好像重了黑洞2001
下載木馬剋星
希望對你有用




相關資料 轉載~台灣微風論壇

黑洞 2001服務端被執行後,會在c:\windows\system下生成兩個檔案,一個是S_Server.exe,S_Server.exe的是服務端的直接複製,用的是檔案夾的圖示,一定要小心了,這是個可執行檔案,可不是檔案夾哦;另一個檔案是windows.exe,大小為255,488位元組,用的是未定義類型的圖示。黑洞2001是典型的檔案關聯木馬,windows.exe檔案用來機器開機時立刻執行,並打開默認連接埠2001, S_Server.exe檔案用來和TXT檔案打開方式連起來(即關聯)!當中木馬者發現自己中了木馬而在DOS下把windows.exe檔案刪除後,服務端就暫時被關閉,即木馬被暫時刪除;當你執行了任何文字檔案案,隱蔽的S_Server.exe木馬檔案就又被啟動了,於是它再次生成 windows.exe文件,即木馬又被種入!這也就是這種檔案關聯木馬難以清除的一個原因。要說明的是,黑洞2001允許控制端用戶自由定制安裝後的木馬檔案案名和所使用的埠,因此如果中了黑洞2001,那麼你看到的檔案案名完全可能與此不同,木馬連接埠也可能不是2001,關聯的檔案也可以是EXE、 ZIP等檔案。本文是按其默認服務端配置來講的(以下所說皆如此)。
修改檔案關聯是國產木馬常用手段,黑洞2001也不例外(令人驚訝的是老外的木馬大都沒有這個功能,從這個角度來說還是我們中國人更聰明、更……呵呵)。我們來看看黑洞2001躲在註冊表的什麼對方。
用來每次開機就執行的windows.exe隱藏在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下;
用來關聯TXT檔案的S_Server.exe躲在HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,它將系統預設值由 C:\WINDOWS\NOTEPAD.EXE %1改為了S_SERVER.EXE %1,請大家注意,就是在這裏黑洞2001改變了TXT檔案打開方式,因此就算你刪除了windows.exe這個檔案,但當你打開TXT檔案時,那個可怕的“幽靈”又回來了——它再次生成windows.exe,演繹了一場經典的“人鬼情未了”大戲。在註冊表的HKEY_CLASSES_ROOT和 HKEY_LOCAL_MACHINE\Software\CLASSES下,黑洞2001還建立了一個主鍵Winvxd,記載了一些經過加密的 server配置資訊,如Password、Runkey、Runkeyname、Smpt、Email等資訊,這些資訊不起控制作用,可以不用管它

[NCYU2 在 2005-7-4 02:45 PM 作了最後編輯]


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-9-28 04:15 AM		 清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.038287 second(s), 8 queries , Qzip disabled