»
遊客:
加入
|
登入
(帳號有問題請連絡TWed2k@gmail.com)
TWed2k
»
軟體求助討論區
» [問題]請問一下這是什麼木馬
可打印版本
|
推薦給朋友
|
訂閱主題
|
收藏主題
|
純文字版
論壇跳轉 ...
主題:
[求助]
[問題]請問一下這是什麼木馬
字型大小:
小
|
中
|
大
|
巨
←
→
klazid
驢baby
. 積分:
0
. 文章:
3
. 收花: 0 支
. 送花: 1 支
. 比例: 0
. 在線: 1 小時
. 瀏覽: 0 頁
. 註冊:
7322
天
. 失蹤:
6677
天
#1 : 2005-7-1 04:00 AM
只看本作者
送花
(0)
送出中...
話說小弟今天上網沒做任何動作但卻不斷有資料上傳,於是查了一下注冊表果然發現有個不明程式作崇,但奇怪的是明明檔名為windows.exe且位置在c:\windows\system32裡,但怎麼搜尋就是找不到,也就無法將之刪除,而且內容中的隱藏居然是反白的(請參考圖片),著實怪異,想請問這裡的網友有沒有人知道如何解決的,將這個BMW怪程式趕出電腦。
圖片:
[klazid 在 2005-7-1 04:12 AM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
NCYU2
驢手小試
今日心情
. 積分:
8
. 文章:
114
. 收花: 28 支
. 送花: 350 支
. 比例: 12.5
. 在線: 24 小時
. 瀏覽: 1280 頁
. 註冊:
7444
天
. 失蹤:
3935
天
#2 : 2005-7-3 11:55 AM
只看本作者
送花
(0)
送出中...
你好像重了黑洞2001
下載木馬剋星
希望對你有用
相關資料 轉載~
台灣微風論壇
黑洞 2001服務端被執行後,會在c:\windows\system下生成兩個檔案,一個是S_Server.exe,S_Server.exe的是服務端的直接複製,用的是檔案夾的圖示,一定要小心了,這是個可執行檔案,可不是檔案夾哦;另一個檔案是windows.exe,大小為255,488位元組,用的是未定義類型的圖示。黑洞2001是典型的檔案關聯木馬,windows.exe檔案用來機器開機時立刻執行,並打開默認連接埠2001, S_Server.exe檔案用來和TXT檔案打開方式連起來(即關聯)!當中木馬者發現自己中了木馬而在DOS下把windows.exe檔案刪除後,服務端就暫時被關閉,即木馬被暫時刪除;當你執行了任何文字檔案案,隱蔽的S_Server.exe木馬檔案就又被啟動了,於是它再次生成 windows.exe文件,即木馬又被種入!這也就是這種檔案關聯木馬難以清除的一個原因。要說明的是,黑洞2001允許控制端用戶自由定制安裝後的木馬檔案案名和所使用的埠,因此如果中了黑洞2001,那麼你看到的檔案案名完全可能與此不同,木馬連接埠也可能不是2001,關聯的檔案也可以是EXE、 ZIP等檔案。本文是按其默認服務端配置來講的(以下所說皆如此)。
修改檔案關聯是國產木馬常用手段,黑洞2001也不例外(令人驚訝的是老外的木馬大都沒有這個功能,從這個角度來說還是我們中國人更聰明、更……呵呵)。我們來看看黑洞2001躲在註冊表的什麼對方。
用來每次開機就執行的windows.exe隱藏在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下;
用來關聯TXT檔案的S_Server.exe躲在HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,它將系統預設值由 C:\WINDOWS\NOTEPAD.EXE %1改為了S_SERVER.EXE %1,請大家注意,就是在這裏黑洞2001改變了TXT檔案打開方式,因此就算你刪除了windows.exe這個檔案,但當你打開TXT檔案時,那個可怕的“幽靈”又回來了——它再次生成windows.exe,演繹了一場經典的“人鬼情未了”大戲。在註冊表的HKEY_CLASSES_ROOT和 HKEY_LOCAL_MACHINE\Software\CLASSES下,黑洞2001還建立了一個主鍵Winvxd,記載了一些經過加密的 server配置資訊,如Password、Runkey、Runkeyname、Smpt、Email等資訊,這些資訊不起控制作用,可以不用管它
[NCYU2 在 2005-7-4 02:45 PM 作了最後編輯]
[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接
快速回覆
送出中...
快速回覆
表情符號
更多 Smilies
字型大小 :
小
|
中
|
大
|
巨
[完成後可按 Ctrl+Enter 發佈]
溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別
關閉
表情符號
關閉
Discuz! 代碼
使用個人簽名
接收新回覆信件通知
發表時自動複製內容
[立即複製]
(IE only)
論壇跳轉 ...
所在時區為 GMT+8, 現在時間是 2024-11-27 11:48 PM
清除 Cookies
-
連絡我們
-
TWed2k
© 2001-2046
-
純文字版
-
說明
Discuz!
0.1
| Processed in 0.023332 second(s), 6 queries , Qzip disabled