主題:
[求助]
[問題]請問一下這是什麼木馬
[打印本頁]
發表人:
klazid
時間:
2005-7-1 04:00 AM
主題:
[問題]請問一下這是什麼木馬
話說小弟今天上網沒做任何動作但卻不斷有資料上傳,於是查了一下注冊表果然發現有個不明程式作崇,但奇怪的是明明檔名為windows.exe且位置在c:\windows\system32裡,但怎麼搜尋就是找不到,也就無法將之刪除,而且內容中的隱藏居然是反白的(請參考圖片),著實怪異,想請問這裡的網友有沒有人知道如何解決的,將這個BMW怪程式趕出電腦。
圖片:
[klazid 在 2005-7-1 04:12 AM 作了最後編輯]
發表人:
NCYU2
時間:
2005-7-3 11:55 AM
你好像重了黑洞2001
下載木馬剋星
希望對你有用
相關資料 轉載~
台灣微風論壇
黑洞 2001服務端被執行後,會在c:\windows\system下生成兩個檔案,一個是S_Server.exe,S_Server.exe的是服務端的直接複製,用的是檔案夾的圖示,一定要小心了,這是個可執行檔案,可不是檔案夾哦;另一個檔案是windows.exe,大小為255,488位元組,用的是未定義類型的圖示。黑洞2001是典型的檔案關聯木馬,windows.exe檔案用來機器開機時立刻執行,並打開默認連接埠2001, S_Server.exe檔案用來和TXT檔案打開方式連起來(即關聯)!當中木馬者發現自己中了木馬而在DOS下把windows.exe檔案刪除後,服務端就暫時被關閉,即木馬被暫時刪除;當你執行了任何文字檔案案,隱蔽的S_Server.exe木馬檔案就又被啟動了,於是它再次生成 windows.exe文件,即木馬又被種入!這也就是這種檔案關聯木馬難以清除的一個原因。要說明的是,黑洞2001允許控制端用戶自由定制安裝後的木馬檔案案名和所使用的埠,因此如果中了黑洞2001,那麼你看到的檔案案名完全可能與此不同,木馬連接埠也可能不是2001,關聯的檔案也可以是EXE、 ZIP等檔案。本文是按其默認服務端配置來講的(以下所說皆如此)。
修改檔案關聯是國產木馬常用手段,黑洞2001也不例外(令人驚訝的是老外的木馬大都沒有這個功能,從這個角度來說還是我們中國人更聰明、更……呵呵)。我們來看看黑洞2001躲在註冊表的什麼對方。
用來每次開機就執行的windows.exe隱藏在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下;
用來關聯TXT檔案的S_Server.exe躲在HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,它將系統預設值由 C:\WINDOWS\NOTEPAD.EXE %1改為了S_SERVER.EXE %1,請大家注意,就是在這裏黑洞2001改變了TXT檔案打開方式,因此就算你刪除了windows.exe這個檔案,但當你打開TXT檔案時,那個可怕的“幽靈”又回來了——它再次生成windows.exe,演繹了一場經典的“人鬼情未了”大戲。在註冊表的HKEY_CLASSES_ROOT和 HKEY_LOCAL_MACHINE\Software\CLASSES下,黑洞2001還建立了一個主鍵Winvxd,記載了一些經過加密的 server配置資訊,如Password、Runkey、Runkeyname、Smpt、Email等資訊,這些資訊不起控制作用,可以不用管它
[NCYU2 在 2005-7-4 02:45 PM 作了最後編輯]
歡迎光臨 TWed2k (http://twed2k.org/)
Powered by Discuz! 4.1.0