冰河木馬

冰河木馬

冰河木馬開發於1999年,跟灰鴿子類似,在設計之初,開發者的本意是編寫一個功能強大的遠程控制軟體。但一經推出,就依靠其強大的功能成為了黑客們發動入侵的工具,並結束了國外木馬一統天下的局面,跟後來的灰鴿子等等成為國產木馬的標誌和代名詞。HK聯盟Mask曾利用它入侵過數千台電腦,其中包括國外電腦。把壓縮檔內的檔案解壓到一個目錄,運行“冰河陷阱.exe”,如果當前系統中已經被別人植入了冰河木馬的話,這時它會提示你是否自動清除冰河木馬被控端程式,當然要選擇“是”了,接下來它會顯示出這個安裝的“冰河”木馬的配置信息,點擊[確定]按鈕,冰河陷阱就會自動徹底地從系統中清除冰河木馬,並將其配置信息以及清除情況保存在當前目錄的“清除日誌.txt”檔案中。

基本信息

具體功能

在2006年之前,冰河在國內一直是不可動搖的領軍木馬,在國內沒用過冰河的人等於沒用過木馬,由此可見冰河木馬在國內的影響力之巨大。

目的:遠程訪問、控制。

選擇:可人為製造受害者和尋找"養馬場",選擇前者的基本上可省略掃描的步驟。

1.自動跟蹤目標機螢幕變化,同時可以完全模擬鍵盤及滑鼠輸入,即在同步被控端螢幕變化的同時,監控端的一切鍵盤及滑鼠操作將反映在被控端螢幕(區域網路適用);

2.記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息;

3.獲取系統信息:包括計算機名、註冊公司、當前用戶、系統路徑、作業系統版本、當前顯示解析度、物理及邏輯磁碟信息等多項系統數據;

4.限制系統功能:包括遠程關機、遠程重啟計算機、鎖定滑鼠、鎖定系統熱鍵及鎖定註冊表等多項功能限制;

5.遠程檔案操作:包括創建、上傳、下載、複製、刪除檔案或目錄、檔案壓縮、快速瀏覽文本檔案、遠程打開檔案(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項檔案操作功能;

6.註冊表操作:包括對主鍵的瀏覽、增刪、複製、重命名和對鍵值的讀寫等所有註冊表操作功能;

7.傳送信息:以四種常用圖示向被控端傳送簡簡訊息;

8.點對點通訊:以聊天室形式同被控端進行線上交談。

從一定程度上可以說冰河是最有名的木馬了,就連剛接觸電腦的用戶也聽說過它。雖然許多防毒軟體可以查殺它,但國內仍有幾十萬種冰河的電腦存在!作為木馬,冰河創造了最多人使用、最多人中彈的奇蹟,掌握了如何清除標準版,再來對付變種冰河就很容易了。

冰河的伺服器端程式為G-server.exe,客戶端程式為G-client.exe,默認連線連線埠為7626。一旦運行G-server,那么該程式就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe,並刪除自身。 Kernel32.exe在系統啟動時自動載入運行,sysexplr.exe和TXT檔案關聯。即使你刪除了Kernel32.exe,只要你打開 TXT檔案,sysexplr.exe就會被激活,它將再次生成Kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。

清除方法

1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe檔案。

2、冰河會在註冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

Run下紮根,鍵值為C:/windows/system/Kernel32.exe,刪除它。

3、在註冊表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,還有鍵值為C:/windows/system/Kernel32.exe的,也要刪除。

4、最後,改註冊表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默認值,由中木馬後的C: /windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe %1,即可恢復TXT檔案關聯功能。

冰河木馬原理

木馬冰河是用C++Builder寫的,為了便於大家理解,我將用相對比較簡單的VB來說明它,其中涉及到一些WinSock編程和Windows API的知識,如果你不是很了解的話,請去查閱相關的資料。

基礎篇

無論大家把木馬看得多神秘,也無論木馬能實現多么強大的功能,木馬,其實質只是一個網路客戶/服務程式。那么,就讓我們從網路客戶/服務程式的編寫開始。

基本概念

網路客戶/服務模式的原理是一台主機提供服務(伺服器),另一台主機接受服務(客戶機)。作為伺服器的主機一般會打開一個默認的連線埠並進行監聽 (Listen), 如果有客戶機向伺服器的這一連線埠提出連線請求(Connect Request), 伺服器上的相應程式就會自動運行,來應答客戶機的請求,這個程式我們稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。對於冰河,被控制端就成為一台伺服器,控制端則是一台客戶機,G_server.exe是守護進程, G_client是客戶端應用程式。(這一點經常有人混淆,而且往往會給自己種了木馬!)

程式實現

在VB中,可以使用Winsock控制項來編寫網路客戶/服務程式,實現方法如下(其中,G_Server和G_Client均為Winsock控制項):

服務端:

G_Server.LocalPort=7626(冰河的默認連線埠,可以改為別的值)

G_Server.Listen(等待連線)

客戶端:

G_Client.RemoteHost=ServerIP(設遠端地址為伺服器地址)

G_Client.RemotePort=7626 (設遠程連線埠為冰河的默認連線埠,呵呵,知道嗎?這是冰河的生日喔)

(在這裡可以分配一個本地連線埠給G_Client, 如果不分配, 計算機將會自動分配一個, 建議讓計算機自動分配)

G_Client.Connect (調用Winsock控制項的連線方法)

一旦服務端接到客戶端的連線請求ConnectionRequest,就接受連線

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客戶機端用G_Client.SendData傳送命令,而伺服器在G_Server_DateArrive事件中接受並執行命令(幾乎所有的木馬功能都在這個事件處理程式中實現)

如果客戶下線,則關閉連線並重新監聽連線埠

Private Sub G_Server_Close()

G_Server.Close (關閉連線)

G_Server.Listen (再次監聽)

End Sub

其他的部分可以用命令傳遞來進行,客戶端上傳一個命令,服務端解釋並執行命令......

控制篇

由於Win98開放了所有的許可權給用戶,因此,以用戶許可權運行的木馬程式幾乎可以控制一切,讓我們來看看冰河究竟能做些什麼(看了後,你會認同我的觀點:稱冰河為木馬是不恰當的,冰河實現的功能之多,足以成為一個成功的遠程控制軟體)

因為冰河實現的功能實在太多,我不可能在這裡一一詳細地說明,所以下面僅對冰河的主要功能進行簡單的概述,主要是使用Windows API函式, 如果你想知道這些函式的具體定義和參數,請查詢WinAPI手冊。

遠程監控

(控制對方滑鼠、鍵盤,並監視對方螢幕)

keybd_event 模擬一個鍵盤動作(這個函式支持螢幕截圖喔)。

mouse_event 模擬一次滑鼠事件(這個函式的參數太複雜,我要全寫在這裡會被編輯罵死的,只能寫一點主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定滑鼠坐標系統中的一個絕對位置。

MOUSEEVENTF_MOVE 移動滑鼠

MOUSEEVENTF_LEFTDOWN 模擬滑鼠左鍵按下

MOUSEEVENTF_LEFTUP 模擬滑鼠左鍵抬起

MOUSEEVENTF_RIGHTDOWN 模擬滑鼠右鍵按下

MOUSEEVENTF_RIGHTUP 模擬滑鼠右鍵按下

MOUSEEVENTF_MIDDLEDOWN 模擬滑鼠中鍵按下

MOUSEEVENTF_MIDDLEUP 模擬滑鼠中鍵按下

dx,dy: MOUSEEVENTF_ABSOLUTE中的滑鼠坐標

記錄口令信息

(作者註:出於安全形度考慮,本文不探討這方面的問題,也請不要給我來信詢問)

獲取系統信息

a.取得計算機名 GetComputerName

b.更改計算機名 SetComputerName

c.當前用戶 GetUserName函式

d.系統路徑

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立檔案系統對象)

Set SystemDir = FileSystem0bject.getspecialfolder(1)

(取系統目錄)

Set SystemDir = FileSystem0bject.getspecialfolder(0)

(取Windows安裝目錄)

(友情提醒: FileSystemObject是一個很有用的對象,你可以用它來完成很多有用的檔案操作)

e.取得系統版本 GetVersionEx(還有一個GetVersion,不過在32位windows下可能會有問題,所以建議用GetVersionEx

f.當前顯示解析度

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

其實如果不用Windows API我們也能很容易的取到系統的各類信息,那就是Windows的"垃圾站"-註冊表

比如計算機名和計算機標識吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup

註冊公司和用戶名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至於如何取得註冊表鍵值請看第6部分。

限制系統功能

a.遠程關機或重啟計算機,使用WinAPI中的如下函式可以實現:

ExitWindowsEx(ByVal uFlags,0)

當uFlags=0 EWX_LOGOFF 中止進程,然後註銷

當uFlags=1 EWX_SHUTDOWN 關掉系統電源

當uFlags=2 EWX_REBOOT 重新引導系統

當uFlags=4 EWX_FORCE 強迫中止沒有回響的進程

b.鎖定滑鼠

ClipCursor(lpRect As RECT)可以將指針限制到指定區域,或者用ShowCursor(FALSE)把滑鼠隱藏起來也可以

注:RECT是一個矩形,定義如下:

Type RECT

Left As Long

Top As Long

Right As Long

Bottom As Long

End Type

c.鎖定系統 這個有太多的辦法了,嘿嘿,想Windows不當機都困難呀,比如,搞個死循環吧,當然,要想系統徹底崩潰還需要一點技巧,比如設備漏洞或者耗盡資源什麼的......

d.讓對方掉線 RasHangUp......

e.終止進程 ExitProcess......

f.關閉視窗 利用FindWindow函式找到視窗並利用SendMessage函式關閉視窗

遠程檔案操作

無論在哪種程式語言里,檔案操作功能都是比較簡單的,在此就不贅述了,你也可以用上面提到的FileSystemObject對象來實現

註冊表操作

在VB中只要Set RegEdit=CreateObject("WScript.Shell")

就可以使用以下的註冊表功能:

刪除鍵值:RegEdit.RegDelete RegKey

增加鍵值:RegEdit.Write RegKey,RegValue

獲取鍵值:RegEdit.RegRead (Value)

記住,註冊表的鍵值要寫全路徑,否則會出錯的。

7.傳送信息

很簡單,只是一個彈出式訊息框而已,VB中用MsgBox("")就可以實現,其他程式也不太難的。

8.點對點通訊

呵呵,這個嘛隨便去看看什麼聊天軟體就行了(因為比較簡單但是比較煩,所以我就不寫了,呵呵。又:我始終沒有搞懂冰河為什麼要在木馬里搞這個東東,困惑......)

9.換牆紙

CallSystemParametersInfo(20,0,"BMP路徑名稱",&H1)

值得注意的是,如果使用了ActiveDesktop,換牆紙有可能會失敗,遇到這種問題,請不要找冰河和我,去找Bill吧。

潛行篇

(Windows系統,一個捉迷藏的大森林)

木馬並不是合法的網路服務程式,因此,它必須想盡一切辦法隱藏自己,好在Windows是一個捉迷藏的大森林!

隱藏自己

這是最基本的了,如果連這個都做不到......(想像一下,如果Windows的系統列里出現一個西洋棋中木馬的圖示...這也太囂張了吧……)

在VB中,只要把form的Visible屬性設為False, ShowInTaskBar設為False, 程式就不會出現在系統列中了。

在任務管理器中隱形:

在任務管理器中隱形,就是按下Ctrl+Alt+Del時看不見那個名字叫做“木馬”的進程,這個有點難度,不過還是難不倒我們,將程式設為“系統服務”可以很輕鬆的偽裝成比爾蓋茨的嫡系部隊(Windows,我們和你是一家的,不要告訴別人我藏在哪兒...)。

在VB中如下的代碼可以實現這一功能:

Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long

Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long

(以上為聲明)

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (註冊系統服務)

End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系統服務)

End Sub

隱蔽啟動

你當然不會指望用戶每次啟動後點擊木馬圖示來運行服務端,木馬要做到的第二重要的事就是如何在每次用戶啟動時自動裝載服務端(第一重要的是如何讓對方中木馬,嘿嘿,這部分的內容將在後面提到)

Windows支持多種在系統啟動時自動載入應用程式的方法(簡直就像是為木馬特別定做的)啟動組、win.ini、system.ini、註冊表等等都是木馬藏身的好地方。冰河採用了多種方法確保你不能擺脫它。首先,冰河會在註冊表的HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run和RUNSERVICE鍵值中加上了\kernl32.exe(是系統目錄),其次如果你刪除了這個鍵值,自以為得意地喝著茶的時候,冰河又陰魂不散地出現了...怎么回事?原來冰河的服務端會在c:\windows(這個會隨你windows的安裝目錄變化而變化)下生成一個叫sysexplr.exe檔案(太象超級解霸了,好毒呀,冰河!),這個檔案是與文本檔案相關聯的,只要你打開文本(哪天不打開幾次文本?),sysexplr.exe檔案就會重新生成krnel32.exe, 然後你還是被冰河控制著。(冰河就是這樣長期霸占著窮苦勞動人民寶貴的系統資源的,555555)

連線埠

木馬都會很注意自己的連線埠(你呢?你關心你的6萬多個連線埠嗎?),如果你留意的話,你就會發現,木馬連線埠一般都在1000以上,而且呈越來越大的趨勢 (netspy是1243....)這是因為,1000以下的連線埠是常用連線埠,占用這些連線埠可能會造成系統不正常,這樣木馬就會很容易暴露;而由於連線埠掃描是需要時間的(一個很快的連線埠掃描器在遠程也需要大約二十分鐘才能掃完所有的連線埠),故而使用諸如54321的連線埠會讓你很難發現它。在文章的末尾我給大家轉貼了一個常見木馬的連線埠表,你就對著這個表去查吧(不過,值得提醒的是,冰河及很多比較新的木馬都提供連線埠修改功能,所以,實際上木馬能以任意連線埠出現)

最新隱身技術

更新、更隱蔽的方法已經出現,那就是-驅動程式及動態程式庫技術(冰河3.0會採用這種方法嗎?)。

驅動程式及動態程式庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽連線埠,而採用替代系統功能的方法(改寫驅動程式或動態程式庫)。這樣做的結果是:系統中沒有增加新的檔案(所以不能用掃描的方法查殺)、不需要打開新的連線埠(所以不能用連線埠監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的症狀,而一旦木馬的控制端向被控端發出特定的信息後,隱藏的程式就立即開始運作......

事實上,我已經看到過幾個這樣類型的木馬,其中就有通過改寫vxd檔案建立隱藏共享的木馬...(江湖上又將掀起新的波浪)

破解篇

冰河陷阱。

冰河陷阱有兩種作用:

1、自動清除所有版本“冰河”

2、偽裝成“冰河”被控端對入侵者進行欺騙,並記錄入侵者的所有操作

連線埠掃描

連線埠掃描是檢查遠程機器有無木馬的最好辦法, 連線埠掃描的原理非常簡單, 掃描程式嘗試連線某個連線埠, 如果成功, 則說明連線埠開放, 如果失敗或超過某個特定的時間(逾時), 則說明連線埠關閉。(關於連線埠掃描,Oliver有一篇關於“半連線掃描”的文章,很精彩,那種掃描的原理不太一樣,不過不在本文討論的範圍之中)

但是值得說明的是, 對於驅動程式/動態連結木馬, 掃描連線埠是不起作用的。

查看連線

查看連線和連線埠掃描的原理基本相同,不過是在本地機上通過netstat-a(或某個第三方的程式)查看所有的TCP/UDP連線,查看連線要比連線埠掃描快,缺點同樣是無法查出驅動程式/動態連結木馬,而且僅僅能在本地使用。

檢查註冊表

上面在討論木馬的啟動方式時已經提到,那么,我們同樣可以通過檢查註冊表來發現"馬蹄印",冰河在註冊表里留下的痕跡請參照《潛行篇》。

查找檔案

查找木馬特定的檔案也是一個常用的方法(這個我知道,冰河的特徵檔案是G_Server.exe吧? 笨蛋!哪會這么簡單,冰河是狡猾狡猾的......)冰河的一個特徵檔案是kernl32.exe(靠,偽裝成Windows的核心呀),另一個更隱蔽, 是sysexlpr.exe(什麼什麼,不是超級解霸嗎?)對!冰河之所以給這兩個檔案取這樣的名字就是為了更好的偽裝自己, 只要刪除了這兩個檔案,冰河就已經不起作用了。其他的木馬也是一樣(廢話,Server端程式都沒了,還能幹嘛?)

如果你只是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本檔案打不開了,因為前面說了,sysexplr.exe是和文本檔案關聯的,你還必須把文本檔案跟notepad關聯上,方法有三種:

a.更改註冊表(我就不說了,有能力自己改的想來也不要我說,否則還是不要亂動的好)

b.在<我的電腦>-查看-資料夾選項-檔案類型中編輯

c.按住SHIFT鍵的同時滑鼠右擊任何一個TXT檔案,選擇打開方式,選中<始終用該程式打開......>,然後找到notepad,點一下就OK了。(這個最簡單,推薦使用)

提醒一下,對於木馬這種狡猾的東西,一定要小心又小心,冰河是和txt檔案關聯的,txt打不開沒什麼大不了,如果木馬是和exe檔案關聯而你貿然地刪了它......你苦了!連regedit都不能運行了!

殺病毒軟體

之所以把殺病毒軟體放在最後是因為它實在沒有太大的用,包括一些號稱專殺木馬的軟體也同樣是如此,不過對於過時的木馬以及菜鳥安裝的木馬(沒有配置服務端)還是有點用處的, 可以監視所有調用Winsock的程式,並可以動態殺除進程,是一個個人防禦的好工具(雖然我對傳說中“該軟體可以查殺未來十年木馬”的說法表示懷疑,嘿嘿,兩年後的事都說不清,誰知道十年後木馬會“進化”到什麼程度?甚至十年後的作業系統是什麼樣的我都想像不出來)

另外,對於驅動程式/動態程式庫木馬,有一種方法可以試試,使用Windows的"系統檔案檢查器",通過"開始選單"-"程式"-"附屬檔案"-"系統工具 "-"系統信息"-"工具"可以運行"系統檔案檢查器"(這么詳細,不會找不到吧? 什麼,你找不到! 吐血! 找一張98安裝盤補裝一下吧), 用“系統檔案檢查器”可檢測作業系統檔案的完整性,如果這些檔案損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的檔案(如驅動程式)。如果你的驅動程式或動態程式庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的檔案可以保證你的系統安全和穩定。(注意,這個操作需要熟悉系統的操作者完成,由於安裝某些程式可能會自動升級驅動程式或動態程式庫,在這種情況下恢復"損壞的"檔案可能會導致系統崩潰或程式不可用!)

狡詐篇(只要你的一點點疏忽......)

只要你有一點點的疏忽,就有可能被人安裝了木馬,知道一些給人種植木馬的常見伎倆對於保證自己的安全不無裨益。

木馬種植伎倆

網上“幫”人種植木馬的伎倆主要有以下的幾條

a.軟哄硬騙法

這個方法很多啦, 而且跟技術無關的, 有的是裝成大蝦, 有的是裝成PLMM, 有的態度謙恭,有的......反正目的都一樣,就是讓你去運行一個木馬的服務端。

b.組裝合成法

就是所謂的221(Two To One二合一)把一個合法的程式和一個木馬綁定,合法程式的功能不受影響,但當你運行合法程式時,木馬就自動載入了,同時,由於綁定後程式的代碼發生了變化,根據特徵碼掃描的防毒軟體很難查找出來。

c.改名換姓法

這個方法出現的比較晚,很容易上當。具體方法是把執行檔偽裝成圖片或文本----在程式中把圖示改成Windows的默認圖片圖示, 再把檔案名稱改為*.jpg *.exe, 由於Win98默認設定是"不顯示已知的檔案後綴名",檔案將會顯示為*.jpg, 不注意的人一點這個圖示就中木馬了(如果你在程式中嵌一張圖片就更完美了)

d.願者上鉤法

木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜;奉勸:不要隨便點擊網頁上的連結,除非你了解它,信任它,為它死了也願意...

幾點注意(一些陳詞濫調)

a.不要隨便從網站上下載軟體,要下也要到比較有名、比較有信譽的站點,這些站點一般都有專人殺馬防毒;

b.不要過於相信別人,不能隨便運行別人給的軟體;

(特別是認識的,不要以為認識了就安全了,就是認識的人才會給你裝木馬,哈哈,挑撥離間......)

c.經常檢查自己的系統檔案、註冊表、連線埠什麼的,經常去安全站點查看最新的木馬公告;

d.改掉windows關於隱藏檔案後綴名的默認設定(我是只有看見檔案的後綴名才會放心地點它的)

破解之法

不用我說了,大家都知道冰河2.2最新版吧!它的強大的功能大家也一定十分的了解吧!他的操作界面清晰簡潔,控制類功能強大,一些功能如果套用與遠程控制管理,那么它將是非常理想的軟體,可要是被他人用於黑客木馬,那么它的危害比起BO2000,NETSPY真是有過之而無不及.事實上,把它定位於黑客木馬並不過分,因為它的伺服器端程式具有隱藏,自我複製保護,盜取密碼帳號等功能,這不是一個正常的軟體所應具備的.他甚至還可以在客戶端將木馬設定成任意檔案名稱,伺服器端程式在上網後,還會自動將該機當前的IP通過E-MAIL方式傳送到客戶端.拷貝,刪除檔案,關閉進程,強制關機,跟蹤鍵盤鎖定滑鼠等更不在話。

所以我在此給大家介紹解除冰河服務端的方法,從此就不必再擔心自己的機子會被人控制了!

那么如何防範與消除冰河呢?

首先,不要執行來路不明的軟體程式,這是千古不變的真理.任何黑客程式再高明,功能再強大,都需要利用系統漏洞才能達到入侵的目的.假如沒有伺服器端的木馬程式運行,就可以使掌握著客戶端程式的這類黑客不能得逞.其次,應養成良好的電腦使用習慣,如不把撥接的密碼保存等等!

了解冰河黑客軟體的攻擊機制,就沒有什麼可懼怕的了。一旦感染了"冰河",可以使用以下的方法,將其殲滅在你的電腦里:

1.檢查註冊表啟動組,具體為:開始-->運行-->regedit,值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Sogtware\Microsoft\Windows\CurrentVersion\RunServer,查找KERNEL32.EXE的執行項目,如有則將兩個鍵值刪除.值得注意的是,因為"冰河"可以隨意配置伺服器程式的參數,如伺服器檔案名稱,連線埠號,密碼等,因此伺服器端的程式可以是隨意名稱,即不局限是KERNEL32.EXE,所以在這裡需要具備一定的Windows知識,準確的找出可疑的啟動檔案,如哪不定主意的話可以與另一台電腦進行對照.

2.刪除硬碟上與“冰河”有關的檔案.可以按上述檔案名稱將可疑檔案找出後刪除.KERNEL32.EXE和sysexplr.exe(或更改為新名稱)默認在\Windows\sytem目錄下,但同樣因配置的不同可以暫存與\Windows或\Temp目錄下.

3.“冰河”的自我保護措施是很強的,它可以利用註冊表的檔案關聯項目,在你毫不知覺的情況下複製自己重新安裝.在做完上述工作後,雖然表面上“冰河”不復存在了,但當你點擊打開有關檔案時(如*.TXT,*EXE),“冰河”又復活了!因此為斬草除根,在上述1.2步的基礎上,還應以可疑檔案名稱為線索,全面掃描查找一遍註冊表,可以發現可疑鍵值一一刪除.

4.上述的操作因需要在系統的心臟--註冊表上做手術,有一定的危險性.其實最簡便有效的辦法就是格式化你的硬碟,重裝Windows系統,當然,你要為此付出一定的時間了!

以下是補充上述方法的新文章:

一. 按照上述方法殺掉冰河後,還應該對註冊表中HKEY_CLASS_ROOT\txtfile\shell\open\command下的鍵值C:\WINDOWS\NOTEPAD.EXE%1 進行修正,改為:C:\WINDOWS\SYSTEM\EXE%1,否則大家會發現打不開文本檔案,當打開文本檔案時,大家會看到'未找到程式'的提示.

二.是上述介紹殺掉木馬的方法是,只是針對客戶端配置的確省模式,當客戶端在配置伺服器程式是更換了檔案名稱,廣大網友可能就找不到了.具體的判斷解決方法是"首先還是查看註冊表中HKEY_CLASS_TOOT\txtfile\shell\poen\command的鍵值是什麼,如C:\WINDOWS\SYSTEM\CY.EXE%1(這裡也可能是其它檔案名稱和路徑),記下來CY.EXE;查註冊表中HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunServer的鍵值,如也有CY.EXE,則基本上判斷他就是冰河木馬,最好還要再核對檔案的位元組數(2.0版本冰河木馬位元組熟為495,733位元組),將以上的兩個鍵值刪除C:\WINDOWS\SYSTEM\CY.EXE即可(在WIN98下是刪不掉的).需要注意的是在修正註冊表之前,要做好備份;要對與CY.EXE位元組熟相同的檔案引其高度注意,以防客戶端在此前給你配置了幾套冰河木馬。

相關內容

如何識別木馬

先來說一下木馬是如何通過網頁進入你的電腦的,相信大家都知道,其中的圖片木馬其實很簡單,就是把木馬 exe檔案的檔案頭換成bmp檔案的檔案頭,然後欺騙IE瀏覽器自動打開該檔案,然後利用網頁里的一段JAVASCRIPT小程式調用DEBUG把臨時檔案里的bmp檔案還原成木馬exe檔案並拷貝到啟動項里,接下來的事情很簡單,你下次啟動電腦的時候就是你噩夢的開始了,EML木馬更是傳播方便,把木馬檔案偽裝成audio/x-wav聲音檔案,這樣你接收到這封郵件的時候只要瀏覽一下,不需要你點任何連線,windows就會為你代勞自動播放這個他認為是wav的音樂檔案,木馬就這樣輕鬆的進入你的電腦,這種木馬還可以frame到網頁里,只要打開網頁,木馬就會自動運行,另外還有一種方法,就是把木馬exe編譯到.JS檔案里,然後在網頁里調用,同樣也可以無聲無息的入侵你的電腦,這只是些簡單的辦法,還有遠程控制和共享等等漏洞可以鑽,知道這些,相信你已經對網頁木馬已經有了大概了解,

簡單防治方法

開始-設定-控制面版-添加刪除程式-windows安裝程式-把附屬檔案里的windows scripting host去掉,然後打開Internet Explorer瀏覽器,點工具-Internet選項-安全-自定義級別,把裡面的腳本的3個選項全部禁用,然後把“在中載入程式和檔案”禁用,當然這只是簡單的防治方法,不過可能影響一些網頁的動態java效果,不過為了安全就犧牲一點啦,這樣還可以預防一些惡意的網頁炸彈和病毒,如果條件允許的話可以加裝防火牆,再到微軟的網站打些補丁,反正我所知道的網咖用的都是原始安裝的windows,很不安全喔,還有儘量少在一些小網站下載一些程式,尤其是一些號稱黑客工具的軟體,小心盜不著別人自己先被盜了,當然,如果你執意要用的話,號被盜了也應該付出這個代價吧。還有,不要以為裝了還原精靈就很安全,據我所知,一般網咖的還原精靈都只還原c:盤即系統區,所以只要木馬直接感染你安裝在別的盤裡的遊戲執行檔案,你照樣逃不掉的。

冰河陷阱

提起“冰河”木馬,相信沒有多少網民不知道。作為國內木馬程式的經典之作,它操作簡單,功能強大。雖然原作者黃鑫從2.2B版本已經徹底停止了開發,但許多“好事者”卻繼續在對“冰河”程式進行不斷的修改。於是網路上就出現了一些所謂的冰河3.0、5.0、V60、V70、V80、2000、XP以及各種“XX專版”,更有甚者已經開始對修改後的冰河程式進行收費,這引起了原作者黃鑫的注意。

為了防止這種不良影響,他向廣大網民免費奉獻了一款專門用來對付各類冰河木馬的“冰河陷阱”程式,主要有兩大功能:一是自動清除所有版本“冰河”被控端程式。二是把自己偽裝成“冰河”被控端,記錄入侵者的所有操作。

第一步:清除冰河木馬

把壓縮檔內的檔案解壓到一個目錄,運行“冰河陷阱.exe”,如果當前系統中已經被別人植入了冰河木馬的話,這時它會提示你是否自動清除冰河木馬被控端程式,當然要選擇“是”了,接下來它會顯示出這個安裝的“冰河”木馬的配置信息,點擊[確定]按鈕,冰河陷阱就會自動徹底地從系統中清除冰河木馬,並將其配置信息以及清除情況保存在當前目錄的“清除日誌.txt”檔案中。另外還要記下“接收IP信箱”後面顯示的信箱,這就是入侵者接收你的IP位址以及密碼等信息的信箱,以後你可以向該信箱發出警告信或者請求信箱服務商的管理員幫助。

我在試用中發現如果“冰河陷阱.exe”處於運行狀態,冰河木馬被控端程式將無法在你的系統中再次運行。而且每次它啟動時都會自動檢查系統中有無冰河被控端程式,並提示清除。因此建議大家選中“設定”選單中的“隨系統自動啟動”選項,讓它開機自動運行。

第二步:請君入甕

接下來利用“冰河陷阱”的偽裝功能來誘捕入侵者。運行冰河陷阱後,點擊“設定”選單中的“設定監聽連線埠”,然後輸入前面記下的冰河木馬被控端監聽連線埠“7626”(一定要與上面顯示的數字一樣),然後單擊工具列中的[打開陷阱]按鈕,再將冰河陷阱最小化到系統托盤。這時冰河陷阱會完全模擬真正的“冰河”被控端程式對入侵者的控制命令進行回響,使入侵者以為你的機器仍處於他的控制之下。

當有入侵者通過“冰河”客戶端連線到冰河陷阱所偽裝的被控端程式上時,可以在系統托盤中看到冰河陷阱圖示不斷閃爍報警,同時還有聲音報警。雙擊圖示打開“冰河陷阱”主界面,在列表中可以看到入侵者的IP位址、所在地以及登錄密碼和詳細的操作過程。點擊[保存記錄]按鈕可以將顯示的入侵記錄保存在磁碟上以供分析。

另外,冰河陷阱還有一項特別的功能——冰河信使。點擊工具列中的[冰河信息]按鈕,可以直接給入侵者傳送一個反擊訊息,當然越恐怖效果越好,保證讓這個入侵者“丟盔棄甲”,落荒而逃,再也不敢冒犯你了。

立即下載:冰河陷阱

相關搜尋

熱門詞條

聯絡我們