我就這樣廢掉了NTDHCP.EXE這個木馬
 

在我寫這篇簡易教學的時候，MACFEE VIRUS SCAN 已經可以正確識別並清除該木馬。
MACFEE VIRUS SCAN的存取保護的連接阜保護中的第一個，禁止25號連接阜，可以有效地防止通過電子郵件方式竊取電腦敏感訊息的各類木馬。但如果你的電腦需要使用FOXMAIL等郵件收發軟體，而非web方式收取郵件，請關閉該功能。

關於NTDHCP的說明
木馬採用Delphi編寫。

木馬執行後有以下行為：
一、將自己複製到%SYSDIR%目錄下，檔案名為「NTdhcp.exe「。

二、修改註冊表以下鍵值以達到其自啟動的目的：
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加資料項：「NTdhcp「 資料值為：%SYSDIR%\NTDHCP.EXE

三、搜尋包含以下字元串的表單，並將它們關閉：
「卡巴斯基反病毒單機版「
「Symantec AntiVirus 企業版「
「江民殺毒軟體 KV2004：既時監視「
「RavMon.exe「
「ZoneAlarm「
「天網防火牆個人版「
「天網防火牆企業版「
「噬菌體「
「木馬剋星「

四、搜尋並結束以下工作：
「FireTray.exe「、「UpdaterUI.exe「、「TBMon.exe「、「SHSTAT.EXE「、「RAV.EXE「、「RAVMON.EXE「、「RAVTIMER.EXE「、「KVXP.KXP「、

「KVCENTER.KXP「、「Iparmor.exe「、「MAILMON.EXE「、「KAVPFW.EXE「、「KVFW.EXE「、「KVMonXP.KXP「、「KAVPLUS.EXE「、「KWATCHUI.EXE「

、「KPOPMON.EXE「、「KAV32.EXE「、「CCAPP.EXE「、「MCAGENT.EXE「、「MCVSESCN.EXE「、「MSKAGENT.EXE「、「EGHOST.EXE「、「KRegEx.exe「、

「TrojDie.kxp「、「KVOL.exe「、「kvolself.exe「

五、檢視當前系統是否存在以下服務：
「RsRavMon「、「RsCCenter「、「KVSrvXP「、「kavsvc「、「wscsvc「、「SNDSrvc「、「ccProxy「、「ccEvtMgr「、「ccSetMgr「、「SPBBCSvc「、

「Symantec Core LC「、「navapsvc「、「NPFMntor「、「MskService「、「McTaskManager「、「McShield「、「McAfeeFramework「
如果有，木馬將停止這些服務。

由此可見，該木馬是極其惡毒的，執行後會在服務組裡徹底禁用掉市面上主流殺毒軟體。如果不瞭解windows 服務組的用戶，重裝殺毒軟體都無法修復。

但是該木馬是為竊取用戶騰迅的QQ號碼及其密碼設計的，並沒有走出類似木馬設計的老路子，還是要通過傳送電子郵件將竊取的號碼和密碼發給散佈木馬者。大家知道，由於反垃圾郵件的需要，現在幾乎所有的免費電子信箱系統都採用了SMTP發件認證。也就是說，必須提 供正確的郵件用戶名，密碼才能傳送郵件，因此，在木馬的客戶端必須包含有以上訊息，這就為我們查出散佈木馬者的郵信箱用戶名和密碼成為可能。該木馬的設計者也意識到這一點，在其的教學中，提出了用一個不用的郵信箱用戶名密碼通過smtp認證，由另外一個郵信箱收 取的方法，這樣可以保證收取郵件的郵信箱不會被輕易攻破。但是，只要我們攻破smtp認證的那個郵信箱，就可以廢掉已經散佈出去的木馬，哪怕
已經散佈了上萬個，由於不能通過smtp認證，這些木馬竊取的密碼就發不出去。

思法有了，下面談談怎麼去做，其實很簡單，我用的工具有2個x-way和winhex
前者我只使用了其嗅探器的功能，在木馬已經執行的情況下，開啟QQ，胡亂填寫一個號碼及密碼，嗅探器截獲了該木馬傳送的郵件的內容，見圖一， 首先是發件郵信箱river4949@126.com這個就是我上面提到的，通過smtp發信認真的那個郵信箱，下面是收件的信箱rj4499@126.com




郵件的主旨就是我胡亂填寫的QQ號碼和密碼（圖中的密碼是一串的6）郵件的內容包括QQ號碼和密碼，還包括了該qq號碼的qqshow連接，（據有網友反映，現在有些人並不竊取你的qq號，因為大部分人已經使用了密碼保護功能，而是竊取你的q幣，qqsh ow等有價值的東西。）
上126.com可以查到126的smtp伺服器是SMTP.126.COM
現在開啟winhex，工具表單，RAM編輯器，找到NTDHCP.EXE這個工作，開啟
使用搜尋表單，搜尋文本，搜尋smtp.126.com，果然找到了.在其下一點點，出現了
yjriver4949這樣的字樣，這就是用戶名了，下面有一串數位159753，見圖二，嘿嘿，這就是密碼，好了，有了這些，我們就可以登入該信箱，更改其密碼。這樣，該散佈木馬者在此以前發怖的所有的木馬都因為無法傳送郵件而失效。至於那個收件郵信箱， 我想，炸一下也可以，或者製造大量的假的qq號碼和密碼的郵件也非難事。
以上是我的一個簡易教學，全當拋磚引玉吧，我想，對付此類木馬，都可以用類似的辦法廢掉它們，使其不再害人，這也是我的真實經歷，而且我運氣還很好，因為在我攻破的郵信箱內居然發現了那個散佈木馬者的個人簡歷，並以此給了那個散佈木馬者一個教訓。


google裡用 "嗅探 x-way" 一查就有
X-Way 進階掃瞄器
最新版本：V2.6
適用平台：Windows 9x/NT/2000/ME/XP
軟體大小：897KB
軟體使用權：共享版
軟體語言：簡體中文
==>點擊下載
http://www.6uc.com/zhuanti/Budi/tools/X-way2.6.rar

據此，這個木馬是從一個黑客網站下載的。
這個網站是一個收費網站，據說可以交錢學習各種黑客技能。
這是該網站一段視瀕 http://www.3800cc.com/vip2.rm

個是我的電腦上中的病毒,沒有找到誰種的,這個病毒特點是程序最後有標誌

史萊姆病毒 6
http://www.vun.cn/images/vpclient16.exe

文件我壓縮了,並且把副檔名改了,它通常改動exe文件的執行方式,讓這個叫rundll.exe的程序來啟動可執行文件,這樣執行exe文件就可能被感染 !exe文件的執行方式是，通過改寫exe可執行文件的游標，在其內部加入病毒程式碼，達到傳染目的（類似於早期的病毒）
還是通過改寫註冊表內HKEY_CLASSES_ROOT\exefile\shell\open\command\的健值，使所有exe文件在執行前，必須先執行該病毒？
下載看了一下，這個是一個木馬程序，可惜這個已經不完整了
執行這個文件只是修改了註冊表，但是病毒的其他機理運作不正常
後者，但後者也有可能通過先執行病毒程式碼再進去行傳染呢?
這個是一個木馬，跟exe進行元件服務只是為了確保這個病毒是始終執行的，可惜這個病毒不完全，在我的電腦上執行出現錯誤，但就是這樣，還是改寫了我註冊表的HKEY_CLASSES_ROOT\exefile\shell\open\command\
部分。希望獲得完整的病毒供研究
還有那個叫黑鷹的所謂黑客網站，這麼快就關了啊，哈哈哈，大陸的公安部門動作挺快的..