|
|
|||||||||||
|
|||||||||||||
| 当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
| 手工肃清2006年上半年十大病毒 | |||
| 2006-9-20 8:01:51 文/未知 出处:电脑爱好者 | |||
|
Backdoor/Huigezi**(“灰鸽子”)是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例,该变种运行后,会自我复制到系统用录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗用户机密信息,例如用户拨号上网口令、URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。 手工清除方法: 运行REGEDIT命令打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer],将该键值删除,然后进入X:\windows(X:代表系统盘),设置显示所有文件(或显示隐藏文件),找到G_server.exe和G_server.dll以及G_server_hook.dll三个文件,正常模式下,无法删除这三个文件,通过重启电脑到安全模式下,或使用第三方加力删除工具将三个文件删除。江民未知病毒检测可有效清除病毒文件。 二、传奇窃贼 它是专门窃取网络游戏“传奇2”登录账号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”账号密码,并将盗的信息发送给黑客。 手工清除方法: 在系统文件夹里找到logol_.exe文件并将其删除。 三、高波和瑞波 高波:Backdoor/Agobot.**(“高波”)是主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文件自我复制到系统目录下,并修改注册表,以实现程序开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道,侦听黑客指令。 瑞波:该病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为“僵尸电脑”。由于此病毒会扫描感染目标因此可以造成局域网拥堵。 手工清除方法: 高波:打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁,在系统目录下找到病毒文件名为Medman.exe,并将其删除。 瑞波:在系统用录下找到病毒文件msxml32.exe,在注册表中找到键值msxml32.exe,将其删除。打上微软MS03-007、MS03-026、MS04-011、MS04-031四个补丁。 四、CHM木马 它是利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本。自从2003年以来,一直是国内最为流行的种植网页木马的恶意代码类型。2005年下半年,泛滥趋势稍有减弱,2006年上半年的感染数量仍然很大。没有短期内消亡的迹象。 手工清除方法: 打上微软MS03-014和MS04-023系统漏洞补丁,找到以下病毒和配置文件并将其删除: %SystemDir%dllcache\pk.bin,3680字节,病毒配置文件 %SystemDir%dllcache\phantom.exe,393216字节,病毒程序 %SystemDir%dllcache\kw.dat,803字节,病毒配置文件 %SystemDir%dllcache\phantomhk.dll,8704字节,病毒模块 %SystemDir%dllcache\phantomi.dll,215040字节,病毒模块 %SystemDir%dllcache\phantomwb.dll,40960字节,病毒模块 在注册表中定位到下面的键值,并将该键值删除。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom",%SystemDir%\dllcache\phantom.exe 五、WMF恶意文件 Exploit.MsWMF.a(“WMF漏洞利用者”)变种a是一个利用微软MS06-001漏洞进行传播的木马。如果用户使用未打补丁的Windows系统,在上网浏览、本地打开或预览恶意WMF文件时,它会自动下载网络上的其他病毒文件,侦听黑客指令,对用户计算机进行各种攻击。 手工清除方法: 下载安装微软MS06-001漏洞补丁,升级打开杀毒软件实时监控。 六、QQ大盗 Trojan/QQPass.ak(QQ大盗)是用Delphi编写并将经过压缩的木马,用来窃取游戏“传奇”信息。 手工清除方法: 在系统目录找到病毒文件winsocks.dll和intren0t.exe,并将其删除。打开注册表并定位到以下键值,将其删除。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]"Intren0t"=%Windir%\intren0t.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\RunServices]"Intren0t"=%Windir%\intren0t.exe 七、维京 该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒的电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。 手工清除方法: 在下列系统目录中找到相应病毒文件并删除: %SystemRoot%\rundl132.exe %SystemRoot%\logo_1.exe 病毒目录\vdll.dll 定位到以下注册表键值并将其删除: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run] "load"="C:\\Windows\\rundl132.exe" [HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\Windows\\rundl132.exe" 八、传华木马 出自同一个木马制作组织“传华”的若干木马变种。“传华木马”主要以盗QQ或网络游戏的账号密码为目的,变种极多,感染了大量用户。 手工清除方法:使用江民杀毒软件未知病毒检测,定位可疑概率高的进程,根据文件信息判断其是否病毒文件并将其删除。 九、工行钓鱼木马 这是一个十分狡猾的盗网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。 病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人登录页面上输入了账号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下:“为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!” 病毒以此诈骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。 手工清除方法: 在系统目录下找到svchost.exe病毒文件,并将其删除,打开注册表找到svchost.exe的关联键值,并将其删除。 //本文来自电脑软硬件应用网www.45its.com 十、敲诈者 病毒在本地磁盘根目录下建立一属性为系统、隐藏和只读的备份文件,名为“控制面板{21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括。xls、doc、mdb、ppt、wps、zip、rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。 解决方法: 1、打开“工具-选项-文件夹选项”选择“显示所有文件和文件夹”,并把“隐藏受保护的操作系统文件”前的“√”去掉。 2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩,然后启动WinRAR,切换到该文件夹的上级文件夹,右键单击该文件夹,在弹出菜单中选择“重命名”。 3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-08002B30309D}即可变为普通的文件夹了;也可直接进入该文件夹找回丢失的文件。 电脑软硬件应用网注解:本文节选自《电脑爱好者》2006第16、17期,由楼蓝云逸朋友手打摘录,原作者不明,如原作者看到本文请联系本站,我们给予添加作者姓名。 |
|||
| 关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
|
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |
