七种常见木马的清除方法
网络公牛(Netbull)
网络公牛是国产木马,默认连接端口23444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:
win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:
1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:
3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
Netspy(网络精灵)
Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了。服务端程序被执行后,会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftware microsoftwindowsCurrentVersion Run下建立键值Cwindows systemnetspy.exe,用于在系统启动时自动加载运行。
清除方法:
1.重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:windowssystem目录下输入以下命令:del netspy.exe;
2.进入HKEY_LOCAL_MACHINE
Softwaremicrosoftwindows CurrentVersionRun,删除Netspy的键值即可安全清除Netspy。
SubSeven
SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k,很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查。
清除方法:
1.打开注册表Regedit,点击至: HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载器=“c:windowssystem***”。注:加载器和文件名是随意改变的
2.打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。
3.打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。
4.重新启动Windows,删除相对应的木马程序,一般在c:windowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe。
冰河
我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sy***plr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sy***plr.exe和TXT文件关联。
Windows自带的许多组件有时会有其他前卫软件所达不到的用途。比如对于网页制作来说,若某页面上已经引用的元素的路径或超链接目标文件的路径因实际需要发生了变更,再打开页面时,与路径有关的元素就不再显示,链接的目标文件也打不开了。你得再修改页面中的相关路径啊!呵呵,此时,写字板这个Windows组件的“全部替换”命令就派上大用场了。 假设某页面所处目录下又加了一个目录(如img),且除这个页面外的其他所有元素和子目录都已转到了img下,那么这个页面就可以快速修改了。 1、打开Windows写字板程序窗口后,执行“文件/打开”命令弹出“打开”对话框窗口。 2、先利用“搜寻”找到你要打开进行修改的网页所在目录,但此时中间窗体内看不到你要打开的网页。因为Windows写字板的默认打开文件类型为“*.txt”,所以还要点开“文件类型”列表后选中“全部文档(*.*)”,随后,从中间窗体全部文档列表中找到你要进行修改的网页,将其打开。 3、在随后返回到的Windows写字板程序窗口内,执行菜单中“编辑/替换”命令(如图1)。先在“查找内容”输入框中输入元素原先的目录(比如web01);再在“替换为”输入框中输入你变更后的目录路径(我原先的图片目录“img/”子目录已经变更为“web01/img/”);点按“全部替换”按钮后,随后“确定”写字板已完成搜索文档对话框。 <
很多Windows XP用户在上网时遇到过突然弹出来的对话框,这些所谓的“信使服务”不但会打断我们的思路,内容也往往是一些商业广告,让人不胜其烦。实际上,在Windows XP中,“信使服务”的主要作用是传递客户端和服务器之间的Net Send和Alerter服务消息。但由于它在默认情况下是被激活的,因此一些厂商和网站利用这一点获取了我们的IP地址,大量发送广告和垃圾信息。如果你不喜欢它,就自己动手关闭它吧(据称,微软在Windows XP SP2中已经关闭了这个不招人稀罕的“信使”)。
依次打开“开始→控制面板→性能和维护→管理工具→服务”,右键单击“Alerter”(通常是列表中第一项)服务,在打开的菜单中选择“停止”,关闭“Alerter”服务。然后拖动滚动条,找到“Messenger”服务,在“Messenger”上单击鼠标右键,在打开的菜单中选择“停止”。 需要注意的是,“Messenger”服务的“启动类型”为“自动”,这表明就算我们关闭“Messenger”服务,下次Windows启动后,该服务也会再次自动加载,解决的方法是双击它,在打开的对话框中将“启动类型”设为“手动”。 当然,如果你觉得这些操作仍然过于复杂的话,可以用命令行的方式来关闭“信使”,方法是:单击“开始→运行”,在“打开”输入框中输入“net stop messenger”后回车,即可关闭“信使服务”。当然如果以后需要再次使用“信使服务”,在“打开”输入框中输入“net start messenger”后回车即可。停止和启动“Alerter”服务的方法其实也雷同,只要把“net stop”后面的值改成“Alerter”就可以了。 <
目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。
随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面对Web网站下手。市场研究公司Gartner的分析师指出,目前有70%的黑客袭击事件都发生在应用程序方面。要增强Web网站的安全性,首先要澄清五个误解。 一、“Web网站使用了SSL加密,所以很安全” 单靠SSL加密无法保障网站的安全。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理,但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。 二、“Web网站使用了防火墙,所以很安全” 防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。 三、“漏洞扫描工具没发现任何问题,所以很安全” 自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。 漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。 四、“网站应用程序的安全问题是程序员造成的” 程序员确实造成了一些问题,但有些问题程序员无法掌控。 比如说,应用程序的源代码可能最初从其它地方获得,这是公司内部程序开发人员所不能控制的。或者,公司可能会请一些离岸的开发商作一些定制开发,与原有程序整合,这其中也可能会出现问题。或者,一些程序员会拿来一些免费代码做修改,这也隐藏着安全问题。再举一个极端的例子,可能有两个程序员来共同开发一个程序项目,他们分别开发的代码都没有问题,安全性很好,但整合在一起则可能出现安全漏洞。 很现实地讲,软件总是有漏洞的,这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训,确实可以在一定程度上改进代码的质量。但需要注意,任何人都会犯错误,漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。 五、“我们每年会对Web网站进行安全评估,所以很安全” 一般而言,网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要,但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动,都会出现安全问题的隐患。 网站喜欢选在节假日对应用程序进行升级,圣诞节就是很典型的一个旺季。网站往往会增加许多新功能,但却忽略了安全上的考虑。如果网站不增加新功能,这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。 一 定位方面 1. 明确的目标。 明确的目标大多在做网站策划构思的时候就想过来,并且大多都有很“伟大”的目标。 但是这些目标是否合理,是否真的明确,需要仔细去调查,推断,策划。就想许多规模不大的小公司,搞了一个及时聊天工具就想成为第二个QQ, 搞了一个B2B电子商务网站就想超过阿里巴巴一样。 这些所以的宏伟目标都不明确。 2. 网站的个性。如果网站文化和企业文化一样,甚至更容易理解些。因为有“网络无第二” 之说,所以做网站,最好能够寻找一个很好的空缺切入点,让它有自己独特的东西,有自己的个性。这样,会更容易获得快速发展。另外就算没有空缺,想去把一个行业做的更好,那么也必须有自己的概念,让自己和别的与众不同。这种个性可以从内容、美工、思路、运作方式、模式等等许多方面来体现。 3. 明确的发展思路, 许多网站都是一下子把自己摆的很大,但运作起来却因为实力不足而陷入沼泽地,这很象功力很浅的人去练《乾坤大挪移》一样,很容易走火入魔。故,一个网站想快速发展,在开始的时候不要贪内容多与全。 而是应该做有自己特点的,让自己的个性去吸引自己需要的群体。 这样,开始成本不大,运做起来相对容易了许多,然后随着发展一点一点加内容,让自己真正大起来。 4. 明确的赢利点。做网站,大多的都是为了赚钱,那么在做之前在考虑它如何迅速发展的同时,比如考虑它如何去赢利,如何赢利,这些赢利模式是否可以很好的执行。前几年,就有许多网站有人气而无赢利,最终关掉。 二 运做方面 1.如何推广 网站推广方面,国内虽然有专业的个人工作室,公司等。有做搜索引擎注册的,有做电子邮件营销的,有做网络广告代理的,有做网站诊断的,有专写软文的。没实力的网站可以自己去学习这方面的技巧,但大多都做的比较片面和不够成熟。有实力的网站最好请这个业内的朋友推荐在个方面的专长的人和公司共同来做。目前主要的营销方式有:搜索引擎注册、友情连接、E-MAIL营销,病毒式营销、社区营销、网络实名、举行活动、网络广告投放、软文等等等等。其中每个方式中都还有许多细节的问题。网络推广,细节制胜。 2.如何取得信任 网站想赢利,技术不是第一位,美工不是第一位,真正的第一位是如何取得浏览者的信任。 因为不关传统生意,电子商务,生意成功的基础是取得了客户的信任。这需要内容版块的合理构架,以及许多细节方面的功夫。比如有联系地址,固定电话,证书,负责人照片,ICP认证,以前客户的评价等等,不需要做的很全,但必须尽量去让客户相信自己。 三 服务与管理 1.服务。服务是网站是否能长期发展下去的一重中之重的环节,这需要许多方面的细节来表现,比如对客户疑问的回复。在论坛上的回复越及时越好,在MAIL中的尽量在24小时内回复,用户提出的疑问必须要热情的解答等等。 2.管理。网站管理不管是对自己成员的管理和对网站内容的管理,更重要的是对会员的交流和管理,如何让自己的会员能为自己的网站发展出谋划策的话,效果可想而知。 上一篇: 关于网页颜色搭配的技巧 下一篇: 如何修饰GIF格式图片
相关文章
|