|
木馬為了達到隱藏傳播的目的,一般會和一個正常的軟件捆綁在一起,別人下載回來,運行了正常的軟件,后臺同時也運行了捆綁在一起的木馬,成為了他人肉雞,自己的電腦就會任人宰割,密碼被盜、文件丟失或出現其他的問題等等。
1、什么是捆綁的木馬文件?
捆綁的木馬文件就是將兩個或兩個以上的文件合成為一個文件,并能使兩個或兩個以上的文件同時正常運行的。但是我們只能看到其中一個文件運行狀態和使用,其他的木馬文件全部后臺運行。
2、那么我們怎樣來防范和發現并消滅木馬呢?
一、靠殺毒軟件;二、手工檢測;三、其他方法。
雖然木馬和捆綁好的文件,一般情況下,會被殺毒軟件發現的,但是光靠殺毒軟件是不可靠的,目前網上有不少朋友都能做出免殺木馬和免殺的捆綁軟件,逃過殺毒軟件追殺,使木馬安逸的住在肉雞的電腦里,為主人隨時登入肉雞的電腦做好準備。
手工檢測和查獲免殺的捆綁木馬---
使用工具:木馬輔助查找器2006.exe
測試工具:1、免殺萬能捆綁器.exe或憾天雷文件合并器.exe、撼天雷免殺捆綁機3.2.exe
2、灰鴿子 VIP1.2撼天雷免殺版的灰鴿子服務端一個
A、先自己制造個捆綁文件:正常文件.exe + 灰鴿子服務端(stup.exe)=捆綁文件.exe
B、運行“木馬輔助查找器2006.exe”,選“其他工具”,找到“文件監視器”,軟件默認是“監視目錄C:/ ”,點“開始監視”,準備工作OK
C、運行“捆綁文件.exe”,這時我們可以看到“監視結果”中的提示
新建 C:\WINDOWS\System32\HTL_Server.exe
修改 C:\WINDOWS\System32\HTL_Server.exe
新建 C:\WINDOWS\System32\Deleteme.bat
修改 C:\WINDOWS\System32\Deleteme.bat
刪除 C:\Documents and Settings\Administrator\桌面\灰鴿子 VIP1.2撼天雷版\服務端程序.exe
刪除 C:\WINDOWS\System32\Deleteme.bat
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary InternetFiles\Content.IE5\index.dat
修改 C:\Documents and Settings\Administrator\Cookies\index.dat
修改 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
這二條提示,就是后臺運行的灰鴿子服務端后門
新建 C:\WINDOWS\System32\HTL_Server.exe
修改 C:\WINDOWS\System32\HTL_Server.exe
D、我們重啟電腦,按F8進入“安全模式”,在“C:\WINDOWS\System32\”目錄下,找到“HTL_Server.exe”文件,刪除就OK了
|
蘇公網安備32010202010135號