发信人: kingron()
整理人: (2000-11-02 12:18:56), 站内信件
|
【 在 sunjunps () 的大作中提到: 】
: 怀疑是后门程序!!但是notepad却是记事本程序啊,怎么办?
哈哈,恭喜你你中了记事本病毒兼后门黑客程序。
下面这篇文章希望对你有帮助!
警惕! notepad病毒
shining
最近,在我和我朋友的电脑里都发现了一种新的病毒,这个病毒是由国人编
写的一种带有主动攻击性的特洛伊木马,远方的黑客可以通过他连接并控制被感
染的机器。并且这个病毒能够以蠕虫的形式在局域网内扩散,我们把他叫做note
pad病毒,NOTRON的网站则把病毒命名为W32.HLLW.Qaz.A,同时还出现了以Qaz.T
rojan, Qaz.Worm, W32.HLLW.Qaz命名的变种。这个病毒的蔓延速度很快,他的发
作迹象是这样的,在发作时,它将查找notepad.exe文件并将其改名为note.com。
然后,它把自己复制到计算机,再改名为notepad.exe。 每次执行notepad.exe时
,它就会同时执行notepad命令和特洛伊木马,以免被察觉。接着,它会修改注册
表,使系统每次启动时自己都被执行,这样,每次你的机器一启动,病毒就会自
动的驻留到你的内存中。您可以用ctrl+alt+del键调出任务管理器,如果您没有
打开notepad,而在任务管理器里显示有一个notepad的进程时,说明你的电脑中
notepad病毒了。
这个病毒还会通过网络邻居搜索并感染的局域网里的其他计算机。 发现新机
器后它会找到notepad.exe然后作同样的修改(将notepad.exe改为note.com)。
它不需要映射驱动器就可以感染其他计算机。当机器被感染以后,它将启用WinS
ock,等待网络连接,并且自动把计算机的IP发给控制者。 这样,网络黑客就可
以通过被感染的计算机的7597端口,登陆到计算机上获得用户的数据。
更为可怕的是,虽然NOTRON等杀毒软件已经能够查到这个病毒,但是目前还
没有一个很好的杀毒软件能彻底的清杀这个病毒,因此,如果机器感染了这个病
毒,我们就只能手动来杀了,下面就给大家说说我的杀毒方法,如果大家有更好
的方法,也请您指教。
1、运行regedit进入注册表编辑程序,手动删除HKLM\Software\Microsoft\Wind
ows\CurrentVersion\Run 下的STARTIE主键:HKLM\Software\Microsoft\Window
s\CurrentVersion\Run "StartIE"="C:\WINDOWS\NOTEPAD.EXE qazwsx.hsq
2、进入WINDOWS目录,寻找到NOTEPAD.EXE文件,文件的字节长度有4中可能,分
别是120320, 119296, 120297, 122880字节。
将NOTEPAD.EXE文件删除,同时把NOTEPAD.COM复制并粘贴。
3、 然后将复制出的notepad.com的文件改名为notepad.exe;并且将原来的n
otepad.com加上只读属性(这样可以防止以后再中此病毒)
最后重新启动整个杀毒过程就这么完成了。当然在杀毒以后要记得扫描所有
与网络连接的计算机,发现感染文件后重复上面的步骤。如果是局域网,用户最
好把自己的共享目录加上密码并且只开放读权限而不要开放写权限。
现在的病毒越来越狡猾,并且把病毒,黑客软件等等都融合在了一起,很难
想象,如果黑客使用木马程序进入用户的电脑,并且将CIH等破坏性程序放到电脑
中,会对用户造成多大的破坏性啊,因为我们在平时就要加强防毒,防黑客软件
的意识,多注意是否有后台程序,是否在机器启动的时候加载了黑客程序,只有
时刻保持警惕,方能使我们的电脑更加安全!
--
E_Mail:[email protected] OICQ:10228518
<BLINK>【</BLINK>
<BLINK>◎■■■■〓〓〓〓〓〓〓〓〓〓></BLINK> ◆没有最好,只有更好◆
<BLINK> 【</BLINK>
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 61.137.31.1]
|
|