荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (祝你考试顺利^_^), 信区: Virus
标 题: 黑洞2001
发信站: 荔园晨风BBS站 (Sat Dec 8 20:00:23 2001), 站内信件
黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大
的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是
天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系
统中肆意纵横。
黑洞2001服务端被执行后,会在c:\windows\system下生成两个文件,一个是
S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定
要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大
小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,
windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,
S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己
中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时
删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于
是它再次生成windows.exe文件,即木马又被中入!
清除方法:
1)、将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由
S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
2)、将
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键
值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
3)、将
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunServices\
下的串值windows删除。
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的
Winvxd主键删除。
5、到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文
件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境
下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件
终止windows.exe这个进程,然后再将它删除。
至此就安全的清除黑洞2001了。
--
OICQ:28174835 ┏┷┓ ┏┷┓
┏┷┓ ─────┨1┠┏┷┓ ● ○ ┏┷┓┫L┠──
┏┷┓ ┨0┠┏┷┓ ┗┯┛┨4┠─ /■\/▲\ ─┨I┠┗┯┛
─┨5┠┏┷┓┗┯┛┨1┠┏┷┓ ┗┯┛ /\ /\ ┗┯┛ ┏┷┓
┗┯┛┨2┠─ ┗┯┛┨3┠── ─┨U┠
┗┯┛ ┗┯┛ ┗┯┛
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店