史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   資訊系統安全備援防護技術文件 (http://forum.slime.com.tw/f139.html)
-   -   防止木馬最有效果的辦法 (完整篇) (http://forum.slime.com.tw/thread178536.html)

psac 2006-06-28 04:28 AM

防止木馬最有效果的辦法 (完整篇)
 
防止木馬最有效果的辦法 (完整篇)

防網頁木馬的辦法
教大家防木馬的辦法,只針對網頁木馬,有效率90%以上,可以防止90%以上木馬在你的機器上被執行,甚至殺毒軟件發現不了的木馬都可以禁止執行。先說一下原理。

現在網頁木馬無非有以下幾種方式中到你的機器裡

1:把木馬文件改成BMP文件,然後配合你機器裡的DEBUG來還原成EXE,網上存在該木馬20%

2:下載一個TXT文件到你機器,然後裡面有具體的FTP^-^作,FTP連上他們有木馬的機器下載木馬,網上存在該木馬20%

3:也是最常用的方式,下載一個HTA文件,然後用網頁控件解釋器來還原木馬。該木馬在網上存在50%以上

4:採用JS腳本,用VBS腳本來執行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概占10%左右

5:其他方式未知。。。。。。。。。。。。。

現在我們來說防範的方法。。。。。。。。。不要丟金磚
那就是把 windows\system\mshta.exe文件改名,
改成什麼自己隨便 (s個屁和瘟2000是在system32下)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls創建一個基於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然後在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,並設定鍵值為0x00000400即可。

還有windows\command\debug.exe和windows\ftp.exe都給改個名字 (或者刪除)

一些最新流行的木馬 最有效果的防禦~~
比如網路上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....
假如你中了這個木馬 首先我們用工作行程管理器結束 正在執行的木馬smss.exe 然後在C:\windows 或 c:\winnt\目錄下 創建一個 價的 smss.exe 並設置為只讀內容~ (2000/XP NTFS的磁碟格式 的話那就更好 可以用「安全設置」 設置為讀取) 這樣木馬沒了~ 以後也不會在感染了 這個辦法本人測試過對很多木馬
都很有效果的

經過這樣的修改後,我現在專門找別人發的木馬網址去測試,實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映,而我的機器沒有新增出來新的EXE文件,也沒有新的工作行程出現,只不過有些木馬的殘骸留在了IE的臨時資料夾裡,他們沒有被執行起來,沒有危險性,所以建議大家經常清理 臨時資料夾和IE。

psac 2006-07-07 06:02 PM

教你識別電腦中是否隱藏木馬

木馬是一種基於遠端控制的病毒程式,該程式具有很強的隱蔽性和危害性,它可以在人不知鬼不覺的狀態下控制你或者監視你。有人說,既然木馬這麼厲害,那我離它遠一點不就可以了!然而這個木馬實在是「淘氣」,它可不管你是否歡迎,只要它高興,它就會想法設法地闖到你「家」中來的!哎呀,那還了得,趕快看看自己的電腦中有沒有木馬,說不定正在「家」中興風作浪呢!那我怎麼知道木馬在哪裡呢,相信不熟悉木馬的菜鳥們肯定想知道這樣的問題。下面就是木馬潛伏的詭招,看了以後不要忘記採取絕招來對付這些損招喲!
   1、整合到程式中
  其實木馬也是一個服務器-客戶端程式,它為了不讓用戶能輕易地把它刪除,就常常整合到程式裡,一旦用戶啟動木馬程式,那麼木馬文件和某一應用程式捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使木馬被刪除了,只要執行捆綁了木馬的應用程式,木馬又會被安裝上去了。綁定到某一應用程式中,如綁定到系統文件,那麼每一次Windows啟動均會啟動木馬。
   2、隱藏在配置文件中
  木馬實在是太狡猾,知道菜鳥們平時使用的是圖形化界面的操作系統,對於那些已經不太重要的配置文件大多數是不聞不問了,這正好給木馬提供了一個藏身之處。而且利用配置文件的特殊作用,木馬很容易就能在大家的電腦中執行、發作,從而偷窺或者監視大家。不過,現在這種方式不是很隱蔽,容易被發現,所以在 Autoexec.bat和Config.sys中載入木馬程式的並不多見,但也不能因此而掉以輕心哦。
   3、潛伏在Win.ini中
  木馬要想達到控制或者監視電腦的目的,必須要執行,然而沒有人會傻到自己在自己的電腦中執行這個該死的木馬。當然,木馬也早有心理準備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統啟動時自動執行的地方,於是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]字段中有啟動命令「load=」和「run=」,在一般情況下「=」後面是空白的,如果有後跟程式,比方說是這個樣子:run=c:\windows\file.exe load=c:\windows\file.exe這時你就要小心了,這個file.exe很可能是木馬哦。
   4、偽裝在普通文件中
  這個方法出現的比較晚,不過現在很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件偽裝成圖片或文本----在程式中把圖示改成Windows的預定圖片圖示, 再把文件名改為*.jpg.exe, 由於Win98預定設置是"不顯示已知的文件後綴名",文件將會顯示為*.jpg, 不注意的人一點這個圖示就中木馬了(如果你在程式中嵌一張圖片就更完美了)。
   5、內置到註冊表中   
上面的方法讓木馬著實舒服了一陣,既沒有人能找到它,又能自動執行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓後,認為上面的藏身之處很容易找,現在必須躲在不容易被人發現的地方,於是它想到了註冊表!的確註冊表由於比較複雜,木馬常常喜歡藏在這裡快活,趕快檢查一下,有什麼程式在其下,睜大眼睛仔細看了,別放過木馬哦:HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY-USERS\. Default\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值。
   6、在System.ini中藏身
  木馬真是無處不在呀!什麼地方有空子,它就往哪裡鑽!這不,Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。還是小心點,打開這個文件看看,它與正常文件有什麼不同,在該文件的[boot]字段中,是不是有這樣的內容,那就是shell=Explorer.exe file.exe,如果確實有這樣的內容,那你就不幸了,因為這裡的file.exe就是木馬服務端程式!另外,在System.ini中的 [386Enh]字段,要注意檢查在此段內的「driver=路徑\程式名」,這裡也有可能被木馬所利用。再有,在System.ini中的[mic]、 [drivers]、[drivers32]這三個字段,這些段也是起到載入驅動程式的作用,但也是增添木馬程式的好場所,現在你該知道也要注意這裡嘍。
   7、隱形於啟動組中
  有時木馬並不在乎自己的行蹤,它更注意的是能否自動載入到系統中,因為一旦木馬載入到系統中,任你用什麼方法你都無法將它趕跑(哎,這木馬臉皮也真是太厚),因此按照這個邏輯,啟動組也是木馬可以藏身的好地方,因為這裡的確是自動載入執行的好場所。動組對應的資料夾為:C:\windows\ startmenu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\startmenu\programs\startup"。要注意經常檢查啟動組哦!
   8、隱蔽在Winstart.bat中
  按照上面的邏輯理論,凡是利於木馬能自動載入的地方,木馬都喜歡呆。這不,Winstart.bat也是一個能自動被Windows載入執行的文件,它多數情況下為應用程式及Windows自動產生,在執行了Win.com並載入了多數驅動程式之後開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入執行,危險由此而來。
   9、捆綁在啟動文件中
   即應用程式的啟動配置文件,控制端利用這些文件能啟動程式的特點,將製作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
   10、設置在超級連接中
   木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜!奉勸不要隨便點擊網頁上的鏈接,除非你瞭解它,信任它,為它死了也願意等等。

psac 2006-07-23 03:20 AM

一般木馬的工作

exe → BF Evolution Mbbmanager.exe → 聰明基因
_.exe → Tryit Mdm.exe → Doly 1.6-1.7
Aboutagirl.exe → 初戀情人 Microsoft.exe → 傳奇密碼使者
Absr.exe → Backdoor.Autoupder Mmc.exe → 尼姆達病毒
Aplica32.exe → 將死者病毒 Mprdll.exe → Bla
Avconsol.exe → 將死者病毒 Msabel32.exe → Cain and Abel
Avp.exe → 將死者病毒 Msblast.exe → 衝擊波病毒
Avp32.exe → 將死者病毒 Mschv.exe → Control
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震盪波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網路精靈
Checkdll.exe → 網路公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 密碼病毒 Regscan.exe → 波特後門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xanadu
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國黑客病毒 Svchost.exe (執行緒105) → 藍色程式碼
Scanrew.exe → 傳奇終結者 Sysedit32.exe → SCKISS愛情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網路神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe → WebEx
Load.exe → 尼姆達病毒 Taskbar → 密碼病毒 Frethem
Lockdown2000.exe → 將死者病毒 Taskmon.exe → 諾維格蠕蟲病毒
Taskmon32 → 傳奇黑眼睛 Tds2-98.exe → 將死者病毒
Tds2-Nt.exe → 將死者病毒 Temp $01.exe → Snid
Tempinetb00st.exe → The Unexplained Tempserver.exe → Delta Source
Vshwin32.exe → 將死者病毒 Vsstart.exe → 將死者病毒
Vw32.exe → 將死者病毒 Windown.exe → Spirit 2000 1.2
Windows.exe → 黑洞2000 Winfunctions.exe → Dark Shadow
Wingate.exe → 惡郵差病毒 Wink????.exe → 求職信病毒
Winl0g0n.exe → 笑哈哈病毒 Winmgm32.exe → 巨無霸病毒
Winmsg32.exe → Xtcp Winprot.exe → Chupachbra
Winprotecte.exe → Stealth Winrpc.exe → 惡郵差病毒
Winrpcsrv.exe → 惡郵差病毒 Winserv.exe → Softwarst
Wubsys.exe → 傳奇獵手 Winupdate.exe → Sckiss愛情森林
Winver.exe → Sckiss愛情森林 Winvnc.exe → 惡郵差病毒
Winzip.exe → ShadowPhyre Wqk.exe → 求職信病毒
Wscan.exe → AttackFTP Xx.Tmp.exe → 尼姆達病毒
Zcn32.exe → Ambush Zonealarm.exe → 將死者病

psac 2006-07-23 03:22 AM

木馬病毒SPOOLSV.EXE的解決方法:病毒:廣州傲訊訊息科技有限公司

木馬病毒SPOOLSV.EXE的解決方法:
病毒:廣州傲訊訊息科技有限公司

前幾天感染了一個spoolsv.exe的木馬病毒,怎麼殺都殺不掉,殺了又來,最後找了下,發現spoolsv.exe的最新變種目前還沒有哪個軟體能殺掉,因此,將解決方法發怖在這裡,希望對大家有說明 !

spoolsv.exe是一種延緩列印木馬程序,它使電腦CPU使用率達到100%,從而使風扇保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題,但對最新的變種現象無能為力, Ctrl+Alt+Delete停止spoolsv.exe執行工作

重新啟動電腦進入安全模式,在C:/windows/system32/移除spoolsv.exe(或可用搜尋方式移除C碟所有同名文件)

執行regedit,用尋找方式找到並移除所有spoolsv文件。

我的電腦點擊右鍵,選項管理 > 服務,禁用print spooler服務(目前網上提供的方法僅到此)

重新啟動電腦進入系統一般模式,你會發現電腦還是處於高速運轉,但在搜尋中已找不到任何spoolsv相關文件。

Ctrl+Alt+Delete,你可以在工作中找到一個名為inter的後台執行程序,將其關閉即可。

強烈建議在套用以上步驟解決問題之後,執行反木馬程序掃瞄並移除感染文件。

我自己的原創方法是:在桌面建一個TXT文件並顯示副檔名,改名為spools.exe後將文件內容改為唯讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.好了,重新啟動電腦.病毒沒了.

最後發現這個有個公司出品了這個病毒:廣州傲訊訊息科技有限公司

移除經驗:

spoolsv.exe是系統工作,用於將Windows列印機工作傳送給本機列印機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的電腦,竊取密碼和個人資料。

兩者的區別在於,前者是在SYSTEM32目錄下,而木馬程序不在SYSTEM32目錄下,而是在其子目錄或其他目錄下。

手動式清除方法,進入安全模式,工具---資料夾選項---檢視,將「顯示資料夾內容」、「顯示所有文件及資料夾」前的勾打上,去掉「隱藏受保護的作業系統文件」前的勾,然後全盤尋找tqppmtw.fyf這個文件,找到後移除,另外繼續尋找spoolsv.exe文件,注意,SYSTEM32目錄下的不刪,其他的全刪。最後清空IE臨時快取,TEMP臨時目錄和資源回收桶就OK了。

Spoolsv.exe是一種延緩列印木馬程序,它使電腦CPU使用率達到100%,從而使風扇保持高速嘈雜運轉;該木馬允許攻擊者訪問你的電腦,竊取密碼和個人資料。

一、判別自己是否中毒

1、點開始-執行,輸入msconfig,Enter鍵,開啟實用組態程序,選項「啟動」, 感染以後會在啟動項裡面發現執行Spoolsv.exe的啟動項, 每次進入windows會有NTservice的對話視窗。

2、開啟系統碟,假設C碟,看是否存在C:\WINDOWS\system32\spoolsv資料夾,裡面有個spoolsv.exe文件,有「傲訊瀏覽器協助工具」的字樣說明,正常的spoolsv.exe列印機緩衝池文件應該在C:\WINDOWS\system32目錄下。

3,開啟工作管理器,會發現spoolsv.exe工作,而且CPU佔用率很高

二、清除方法

1、重新啟動,開機按F8進入安全模式。

2、點開始-執行,輸入cmd,進入dos,利用rd指令移除一下目錄(如果存在)

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

比如在dos視窗下輸入:rd(空格)C:\WINDOWS\system32\spoolsv/s,Enter鍵,出現提示,輸入yEnter鍵,即可移除整個目錄。

利用del指令移除下面的文件(如果存在)

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

比如在dos視窗下輸入:del(空格)C:\windows\system32\spoolsv.exe,Enter鍵,即可移除被感染的spoolsv.exe,這個文件可以在殺毒結束後在別的正常的電腦上複製正常的spoolsv.exe貼上到C:\windows\system32資料夾。

3、重新啟動按F8再次進入安全模式

(1)桌面右鍵點擊我的電腦,選項「管理」,點擊「服務和應用程式」-「服務」,右鍵點擊NTservice,選項「內容」,修改啟動檔案類型為「禁用」。

(2)點開始,執行,輸入regedit,Enter鍵開啟註冊表,點表單上的編輯,選項尋找,尋找含有spoolsv.exe的註冊表項目,移除。可以利用F3繼續尋找,將含有spoolsv.exe的註冊表項目全部移除。

三、再次重新正常啟動即可

病毒清了後你的SPOOLSV.EXE文件就沒有了,且在服務裡你的後台列印print spooler也不能啟動了,當然列印機也不能執行了,在執行裡輸入"services.msc"後,在"print spooler"服務中的"一般"項裡的"可執行文件路徑"也變得不可用,如啟動會顯示"錯誤3:找不到系統路徑"的錯誤,這是因為你的註冊表的相關項也刪了,(在上面清病毒的時候)

解決方法:

1:在安裝光碟裡I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統時把這個文件拷過來,還可以用NT/XP的文件保護功能,即在CMD裡按鍵輸入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了

2:修改註冊表,在下加一個"ImagePath"="c:\windows\system32\spoolsv.exe"就可以了,再開啟看看,你的列印可以用了吧

推薦一些工具

1.流氓軟體清除助手

2.木馬殺客

geroryan 2006-07-26 01:32 PM

有用到..
感恩詳細提供唷!


所有時間均為台北時間。現在的時間是 11:59 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1