木馬病毒查找清除方法
看網頁�、收郵件�、聊QQ都有可能被馬踩到���。稍不留意�,你的個人信息、賬戶�、密碼等重要信息就會被它馱走���,你知道如何識馬���、抓馬����、趕馬嗎?北大青鳥告訴你如何對付這些頑劣的馬。
一�����、學伯樂 認馬識馬
木馬這東西從本質上說�����,就是一種遠程控制軟件�����。不過遠程控制軟件也分正規部隊和山間土匪。正規部隊顧名思義就是名正言順的幫你遠程管理和設置電腦的軟件,如Windows XP自帶的遠程協助功能�,一般這類軟件在運行時��,都會在系統任務欄中出現,明確的告訴用戶當前系統處于被控制狀態�;而木馬則屬于山間土匪�����,他們會偷偷潛入你的電腦進行破壞,并通過修改注冊表、捆綁在正常程序上的方式運行,使你難覓其蹤跡���。
木馬與普通遠程控制軟件另外一個不同點在于,木馬實現的遠程控制功能更為豐富,其不僅能夠實現一般遠程控制軟件的功能���,還可以破壞系統文件、記錄鍵盤動作、盜取密碼、修改注冊表和限制系統功能等����。而且你還可能成為養馬者的幫兇��,養馬者還可能會使用你的機器去攻擊別人,讓你來背黑鍋。
二、尋根溯源 找到引馬入門的罪魁禍首
作為一個不受歡迎的土匪��,木馬是如何鉆進你系統的呢�?一般有以下幾種主要的傳播方式:
最常見的就是利用聊天軟件殺熟,例如你的QQ好友中了某種木馬,這個木馬很有可能在好友的機器上運行QQ���,并發一條消息給你,誘使你打開某個鏈接或運行某個程序,如果你不慎點擊或運行����,馬兒就會偷偷跑進來�����;另外一種流行的方法是買一送一,木馬會與一些正常的文件捆綁���,如與圖片文件捆綁,當你瀏覽圖片的時候,木馬也會偷偷溜達進來�����;網頁里養馬也是一種常見的方法���,黑客把做好的木馬放到網頁上�����,并誘使你打開,你只要瀏覽這個頁面就可能中招��;最后一種常用方法是網吧種植����,網吧的機器安全性差,黑客還可以直接在機器上做手腳�,所以網吧中帶馬的機器很多��。在網吧上網時受到木馬攻擊的幾率也很大。而且上邊這些方法可能還會聯合行動���,組合在一起對你進行攻擊����。
三、亡羊補牢 如何查殺木馬
我們如何判斷機器里是否有木馬呢��?下面有一些簡單的方法可以嘗試�。
STEP1
查看開放端口�����,作為遠程控制軟件�,木馬同樣具備遠程控制軟件的特征�����。為了與其主人聯系,它必須給自己開道門(即端口)��,因此我們可以通過查看機器開放的端口���,來判斷是否有木馬經過。選擇開始—運行�,輸入CMD后回車,打開命令行編輯界面���,在里邊輸入命令netstat –an(見圖1)��,其中ESTABLISHED表示已經建立連接的端口�����,LISTENING表示打開并等待別人連接的端口。在打開端口中尋找可疑分子,如7626(冰河木馬)�,54320(Back Orifice 2000)等�����。
STEP2
查看注冊表,為了實現隨系統啟動等功能,木馬都會對注冊表進行修改,我們可以通過查看注冊表來尋找木馬的痕跡,在運行中輸入regedit�����,回車后打開注冊表編輯器��,定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下���,分別打開Shell Folders���、User Shell Folders���、Run�����、RunOnce和RunServices子鍵�,檢查里邊是否有可疑的內容���。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下�,分別查看上述5個子鍵中的內容��。一旦在里邊找到你不認識的程序����,就要提高警惕了,很可能木馬曾經到此一游�����。
STEP3
查看系統配置文件,很多木馬文件都會修改系統文件���,而win.ini和system.ini文件則是被修改最頻繁的兩個軟件�。我們需要對其進行定期體檢。在運行中輸入%systemroot%����,回車后會打開Windows文件夾�����,找到里邊的win.ini文件��,在里邊搜索windows字段,如果找到形如load=file.exe�,run=file.exe這樣的語句(file.exe為木馬程序名)�����,就要格外小心了���,這很可能是木馬的主程序。類似的,在system.ini文件中搜索boot字段���,找到里邊的Shell=ABC.exe,默認應為Shell=Explorer.exe��,如果是其他程序則也可能是中了木馬�。
除此之外,你還可以通過查看系統進程和使用專用木馬檢測軟件的方法�����,來推斷系統中是否存在木馬。
關上馬廄的門 做好木馬防御工作
在系統中搜索mshta.exe文件,將其改名,如cfan.exe。再在運行中輸入%windows%coMMand�,將里邊debug.exe和ftp .exe也改名�����。打開注冊表編輯器�,定位到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ����,在里邊找到Active Setup controls子鍵(如沒有需手動建立)�,再在其下創建新子鍵,命名為{6E449683_C509_11CF_AAFA_00AA00 B6015C}��,在右側的空白處單擊鼠標右鍵����,選擇新鍵—DWORD值,鍵名為Compatibility�,設定鍵值為0x00000400即可����。
