經(jīng)過媒體的大量宣傳，大家對木馬有了一定的認識，但大多數(shù)人對木馬還是陌生和恐懼的感覺。其實，木馬沒有什么可神秘的，只要你能掌握以下國內(nèi)最流行十大木馬查殺，那么對付其它木馬程序就很容易了——你會驕傲的說：木馬查殺？Easy！

就我們下面所講木馬來說，被控制端相當于一臺服務(wù)器，控制端則相當于一臺客戶機，被控制端為控制端提供服務(wù)。

控制端

對服務(wù)端進行遠程控制的一方
服務(wù)端

被控制端遠程控制的一方
控制端程序

控制端用以遠程控制服務(wù)端的程序
木馬程序

潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序
木馬端口

即控制端和服務(wù)端之間的數(shù)據(jù)入口，通過這個入口，數(shù)據(jù)可直達控制端程序或木馬程序

十大常見木馬及其查殺方法

冰河

冰河可以說是最有名的木馬了，就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它，但國內(nèi)仍有幾十萬中冰河的電腦存在！作為木馬，冰河創(chuàng)造了最多人使用、最多人中彈的奇跡！現(xiàn)在網(wǎng)上又出現(xiàn)了許多的冰河變種程序，我們這里介紹的是其標準版，掌握了如何清除標準版，再來對付變種冰河就很容易了。

冰河的服務(wù)器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那么該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動時自動加載運行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。

清除方法：

1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

2、冰河會在注冊表HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Run下扎根，鍵值為C:\windows\system\Kernel32.exe，刪除它。

3、在注冊表的HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Runservices下，還有鍵值為C:\windows\system\Kernel32.exe的，也要刪除。

4、最后，改注冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認值，由中木馬后的C:\windows\system\Sysexplr.exe %1改為正常情況下的C:\windows\notepad.exe %1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。

廣外女生

廣外女生是廣東外語外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的處女作，是一種新出現(xiàn)的遠程監(jiān)控工具，破壞性很大，遠程上傳、下載、刪除文件、修改注冊表等自然不在話下。其可怕之處在于廣外女生服務(wù)端被執(zhí)行后，會自動檢查進程中是否含有“金山毒霸”、“防火墻”、“iparmor”、“tcmonitor”、“實時監(jiān)控”、“l(fā)ockdown”、“kill”、“天網(wǎng)”等字樣，如果發(fā)現(xiàn)就將該進程終止，也就是說使防火墻完全失去作用！

該木馬程序運行后，將會在系統(tǒng)的SYSTEM目錄下生成一份自己的拷貝，名稱為DIAGCFG.EXE，并關(guān)聯(lián).EXE文件的打開方式，如果貿(mào)然刪掉了該文件，將會導(dǎo)致系統(tǒng)所有.EXE文件無法打開的問題。

清除方法：

1、由于該木馬程序運行時無法刪除該文件，因此啟動到純DOS模式下，找到System目錄下的DIAGFG.EXE，刪除它；

2、由于DIAGCFG.EXE文件已經(jīng)被刪除了，因此在Windows環(huán)境下任何.exe文件都將無法運行。我們找到Windows目錄中的注冊表編輯器“Regedit.exe”，將它改名為“Regedit.com”；

3、回到Windows模式下，運行Windows目錄下的Regedit.com程序（就是我們剛才改名的文件）；

4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，將其默認鍵值改成"%1" %*；

5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ RunServices，刪除其中名稱為“Diagnostic Configuration”的鍵值；

6、關(guān)掉注冊表編輯器，回到Windows目錄，將“Regedit.com”改回“Regedit.exe”。

7、完成。

Netspy（網(wǎng)絡(luò)精靈）

Netspy又名網(wǎng)絡(luò)精靈，是國產(chǎn)木馬，最新版本為3.0，默認連接端口為7306。在該版本中新添加了注冊表編輯功能和瀏覽器監(jiān)控功能，客戶端現(xiàn)在可以不用NetMonitor，通過IE或Navigate就可以進行遠程監(jiān)控了！其強大之處絲毫不遜色于冰河和BO2000！服務(wù)端程序被執(zhí)行后，會在C:\Windows\system目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立鍵值C:\windows\system\netspy.exe，用于在系統(tǒng)啟動時自動加載運行。

清除方法：

1、重新啟動機器并在出現(xiàn)Staring windows提示時，按F5鍵進入命令行狀態(tài)。在C:\windows\system\目錄下輸入以下命令：del netspy.exe 回車！

2、進入注冊表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，刪除Netspy的鍵值即可安全清除Netspy。
SubSeven

SubSeven的功能比起大名鼎鼎的BO2K可以說有過之而無不及。最新版為2.2(默認連接端口27374)，服務(wù)端只有54.5k！很容易被捆綁到其它軟件而不被發(fā)現(xiàn)！最新版的金山毒霸等殺毒軟件查不到它。服務(wù)器端程序server.exe，客戶端程序subseven.exe。SubSeven服務(wù)端被執(zhí)行后，變化多端，每次啟動的進程名都會發(fā)生變化，因此查之很難。

清除方法：

1、打開注冊表Regedit，點擊至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加載文件，就刪除右邊的項目：加載器="c:\windows\system\***"。注：加載器和文件名是隨意改變的

2、打開win.ini文件，檢查“run=”后有沒有加上某個可執(zhí)行文件名，如有則刪除之。

3、打開system.ini文件，檢查“shell=explorer.exe”后有沒有跟某個文件，如有將它刪除。

4、重新啟動Windows，刪除相對應(yīng)的木馬程序，一般在c:\windows\system下，在我在本機上做實驗時發(fā)現(xiàn)該文件名為vqpbk.exe。

黑洞2001

黑洞2001是國產(chǎn)木馬程序，默認連接端口2001。黑洞的可怕之處在于它有強大的殺進程功能！也就是說控制端可以隨意終止被控端的某個進程，如果這個進程是天網(wǎng)之類的防火墻，那么你的保護就全無了，黑客可以由此而長驅(qū)直入，在你的系統(tǒng)中肆意縱橫。

黑洞2001服務(wù)端被執(zhí)行后，會在c:\windows\system下生成兩個文件，一個是S_Server.exe，S_Server.exe的是服務(wù)端的直接復(fù)制，用的是文件夾的圖標，一定要小心哦，這是個可執(zhí)行文件，可不是文件夾哦；另一個是windows.exe，文件大小為255,488字節(jié)，用的是未定義類型的圖標。黑洞2001是典型的文件關(guān)聯(lián)木馬，windows.exe文件用來機器開機時立刻運行，并打開默認連接端口2001，S_Server.exe文件用來和TXT文件打開方式連起來(即關(guān)聯(lián))！當中木馬者發(fā)現(xiàn)自己中了木馬而在DOS下把windows.exe文件刪除后，服務(wù)端就暫時被關(guān)閉，即木馬暫時刪除，當任何文本文件被運行時，隱蔽的S_Server.exe木馬文件就又被擊活了，于是它再次生成windows.exe文件，即木馬又被中入！

清除方法：

1)、將HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE %1改為C:\WINDOWS\NOTEPAD.EXE %1

2)、將HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE %1改為C:\WINDOWS\NOTEPAD.EXE %1

3)、將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\下的串值windows刪除。

4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主鍵刪除。

5、到C:\WINDOWS\SYSTEM下，刪除windows.exe和S_Server.exe這兩個木馬文件。要注意的是如果已經(jīng)中了黑洞2001，那么windows.exe這個文件在windows環(huán)境下是無法直接刪除的，這時我們可以在DOS方式下將它刪除，或者用進程管理軟件終止windows.exe這個進程，然后再將它刪除。

至此就安全的清除黑洞2001了。

WAY2.4（火鳳凰、無賴小子）

WAY2.4又稱火鳳凰、無賴小子，是國產(chǎn)木馬程序，默認連接端口是8011。眾多木馬高手在介紹這個木馬時都對其強大的注冊表操控功能贊不絕口，也正因為如此它對我們的威脅就更大了。從我的試驗情況來看，WAY2.4的注冊表操作的確有特色，對受控端注冊表的讀寫，就和本地注冊表讀寫一樣方便！這一點可比大家熟悉的冰河強多了，冰河的注冊表操作沒有這么直觀——每次我都得一個字符、一個字符的敲擊出來，WAY2.4在注冊表操控方面可以說是木馬老大。

WAY2.4服務(wù)端被運行后在C:\windows\system下生成msgsvc.exe文件，圖標是文本文件的圖標，很隱蔽，文件大小235,008字節(jié)，文件修改時間1998年5月30日，看來它想冒充系統(tǒng)文件msgsvc32.exe。同時，WAY2.4在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其鍵值為C:\WINDOWS\SYSTEM\msgsvc.exe。此時如果用進程管理工具查看，你會發(fā)現(xiàn)進程C:\windows\system\msgsvc.exe赫然在列！

清除方法：

要清除WAY，只要刪除它在注冊表中的鍵值，再刪除C:\windows\system下的msgsvc.exe這個文件就可以了。要注意在Windows下直接刪除msgsvc.exe是刪不掉的，此時你可以用進程管理工具終止它的進程，然后再刪除它。或者到Dos下刪除msgsvc.exe也可。如果服務(wù)端已經(jīng)和可執(zhí)行文件捆綁在一起了，那就只有將那個可執(zhí)行文件也刪除了！

在刪除前請做好備份。

初戀情人（Sweet Heart）

初戀情人是國產(chǎn)木馬，又名Sweet Heart，默認連接端口是8311。自啟動程序為C:\WINDOWS\TEMP\Aboutagirl.EXE，與TXT關(guān)聯(lián)文件c:\windows\system\girl.exe。中了它的用戶比較多除了有人故意下套外，作者也起了一定的作用。原來，作者故意將服務(wù)端和客戶端名字搞反了！在壓縮包內(nèi)的文件gf_cilent.exe不是用戶端而是服務(wù)端，gf_server.exe不是服務(wù)端而是用戶端！而且各大黑站站長放上來的時候也沒注意，哈哈，那些想害人的人反為人所害！這就是它流行的另一個原因了。

清除方法：

1、刪除C:\WINDOWS\TEMP下的Aboutagirl.EXE文件

2、然后，將HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認鍵值由girl.exe %1改為C:\WINDOWS\NOTEPAD.EXE %1；

3、再將HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默認鍵值由girl.exe %1改為C:\WINDOWS\NOTEPAD.EXE %1

網(wǎng)絡(luò)神偷（Nethief）

網(wǎng)絡(luò)神偷又名Nethief，是第一個反彈端口型木馬！

什么叫“反彈端口”型木馬呢？作者經(jīng)過分析防火墻的特性后發(fā)現(xiàn)：大多數(shù)的防火墻對于由外面連入本機的連接往往會進行非常嚴格的過濾，但是對于由本機連出的連接卻疏于防范（當然也有的防火墻兩方面都很嚴格）。于是，與一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，當要建立連接時，由客戶端通過FTP主頁空間告訴服務(wù)端：“現(xiàn)在開始連接我吧！”，并進入監(jiān)聽狀態(tài)，服務(wù)端收到通知后，就會開始連接客戶端。為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似“TCP　服務(wù)端的IP地址:1026　客戶端的IP地址:80 ESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在瀏覽網(wǎng)頁。防火墻也會如此認為，我想大概沒有哪個防火墻會不給用戶向外連接80端口吧，

嘿嘿。最新線報：目前國內(nèi)木馬高手正在大規(guī)模試驗(使用)該木馬，網(wǎng)絡(luò)神偷已經(jīng)開始流行！中木馬者也日益增多，大家要小心哦！

清除方法：

1、網(wǎng)絡(luò)神偷會在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立鍵值“internet”，其值為"internet.exe /s"，將鍵值刪除；

2、刪除其自啟動程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

OK，神偷完蛋了！

網(wǎng)絡(luò)公牛（Netbull）

網(wǎng)絡(luò)公牛又名Netbull，是國產(chǎn)木馬，默認連接端口234444，最新版本V1.1。服務(wù)端程序newserver.exe運行后，會自動脫殼成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次開機checkdll.exe將自動運行，因此很隱蔽、危害很大。同時，服務(wù)端運行后會自動捆綁以下文件:

win9x下：捆綁notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe；

winnt/2000下：(在2000下會出現(xiàn)文件改動報警,但也不能阻止以下文件的捆綁)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

服務(wù)端運行后還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe、QQ、ICQ等)上。在注冊表中網(wǎng)絡(luò)公牛也悄悄地扎下了根，如下：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"

在我看來，網(wǎng)絡(luò)公牛是最討厭的了。它沒有采用文件關(guān)聯(lián)功能，采用的是文件捆綁功能，和上面所列出的文件捆綁在一塊，要清除非常困難！你可能要問：那么其它木馬為什么不用這個功能？哈哈，其實采用捆綁方式的木馬還有很多，并且這樣做也有個缺點：容易暴露自己！只要是稍微有經(jīng)驗的用戶，就會發(fā)現(xiàn)文件長度發(fā)生了變化，從而懷疑自己中了木馬。

清除方法：

1、刪除網(wǎng)絡(luò)公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。

2、把網(wǎng)絡(luò)公牛在注冊表中所建立的鍵值全部刪除（上面所列出的那些鍵值全部刪除）

3、檢查上面列出的文件，如果發(fā)現(xiàn)文件長度發(fā)生變化（大約增加了40K左右，可以通過與其它機子上的正常文件比較而知），就刪除它們！然后點擊“開始－>附件－>系統(tǒng)工具－>系統(tǒng)信息－>工具－>系統(tǒng)文件檢查器”，在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”，在框中填入要提取的文件(前面你刪除的文件)，點“確定”按鈕，然后按屏幕提示將這些文件恢復(fù)即可。如果是開機時自動運行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了，那就得把這些文件刪除，再重新安裝。

聰明基因

聰明基因也是國產(chǎn)木馬，默認連接端口7511。服務(wù)端文件genueserver.exe，用的是HTM文件圖標，如果你的系統(tǒng)設(shè)置為不顯示文件擴展名，那么你就會以為這是個HTM文件，很容易上當哦。客戶端文件genueclient.exe 。如果不小心運行了服務(wù)端文件genueserver.exe，它會裝模作樣的啟動IE，讓你進一步以為這是一個HTM文件，并且還在運行之后生成GENUESERVER.htm文件，還是用來迷惑你的！怎么樣，是不是無所不用其極？

哈哈，木馬就是如此，騙你沒商量！聰明基因是文件關(guān)聯(lián)木馬，服務(wù)端運行后會生成三個文件，分別是：C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe，這三個文件用的都是HTM文件圖標，如果不注意，還真會以為它們是HTM文件呢！

Explore32.exe用來和HLP文件關(guān)聯(lián)，MBBManager.exe用來在啟動時加載運行，editor.exe用來和TXT文件關(guān)聯(lián)，如果你發(fā)現(xiàn)并刪除了MBBManager.exe，并不會真正清除了它。一旦你打開HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守護進程MBBManager.exe！想清除我？沒那么容易！

聰明基因最可怕之處是其永久隱藏遠程主機驅(qū)動器的功能，如果控制端選擇了這個功能，那么受控端可就慘了，想找回驅(qū)動器？嘿嘿，沒那么容易！

清除方法：

1.刪除文件。刪除C:\WINDOWS下的MBBManager.exe和Explore32.exe，再刪除C:\WINDOWS\system下的editor.exe文件。如果服務(wù)端已經(jīng)運行，那么就得用進程管理軟件終止MBBManager.exe這個進程，然后在windows下將它刪除。也可到純DOS下刪除MBBManager.exe，editor.exe在windows下可直接刪除。

2. 刪除自啟動文件。展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，刪除鍵值“MainBroad BackManager”，其值為C:\WINDOWS\MBBManager.exe，它每次在開機時就被加載運行，因此刪之別手軟！

3.恢復(fù)TXT文件關(guān)聯(lián)。聰明基因?qū)⒆员鞨KEY_CLASSES_ROOT\txtfile\shell\open\command下的默認鍵值由C:\WINDOWS\NOTEPAD.EXE %1改為C:\WINDOWS\system\editor.exe %1，因此要恢復(fù)成原值。同理，到注冊表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，將此時的默認鍵值由C:\WINDOWS\system\editor.exe %1改為C:\WINDOWS\NOTEPAD.EXE %1，這樣就將TXT文件關(guān)聯(lián)恢復(fù)過來了。

4.恢復(fù)HLP文件關(guān)聯(lián)。聰明基因?qū)⒆员鞨KEY_CLASSES_ROOT\hlpfile\shell\open\command下的默認鍵值改為C:\WINDOWS\explore32.exe %1，因此要恢復(fù)成原值：C:\WINDOWS\WINHLP32.EXE %1。同理，到注冊表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，將此時的默認鍵值由C:\WINDOWS\explore32.exe %1改為C:\WINDOWS\WINHLP32.EXE %1，這樣就將HLP文件關(guān)聯(lián)恢復(fù)過來了。

好了，可以和聰明基因說“再見”了！

結(jié)語
上面介紹的國內(nèi)最流行十大木馬，都是按默認情況下來講的，也就是在服務(wù)端沒有被配置(服務(wù)端配置后，就可以任意改名、改連接端口、改關(guān)聯(lián)文件……)的情況下來講的，但萬變不離其宗，掌握了上面的方法，木馬再怎么隱藏也能被發(fā)現(xiàn)！從上面我們所講，不難看出，木馬的隱蔽之所無非就是注冊表、Win.ini、System.ini、Autoexec.bat、Congfig.sys、Winstart.bat、Wininit.ini、啟動組等地方，只要你小心仔細，成為木馬查殺高手也不難?
轉(zhuǎn):
?http://zjss.bbs.us/?act=program&rid=11077