发信人: webfan()
整理人: (2000-02-01 23:09:32), 站内信件
|
一个特洛伊木马最近成了我电脑中的不速之客。下面的文字记录了我如何发现并 清楚这个木马的经过。我希望通过与大家分享我的一些经验,对一些电脑用户有 所帮助。
------------------------------------------
木马的发现:
一天使用电脑时,我觉得系统的反应有些迟缓,比如鼠标移动会有些轻微跳动, 菜单的弹出比往常稍慢......我很奇怪,于是就打开WinTop(这个工具在本文末尾 会介绍)查看系统当前究竟有哪些程序在运行,是谁占用了我的CPU呢?在我扫了 一下程序列表后,有一个程序引起了我的好奇。
木马的确定:
这个程序名叫Kernel32.exe,位于C:\Windows\System\目录下。它当时占用了80 %的CPU。我很奇怪,因为我此时没有运行什么如此占用CPU资源的程序,CPU应该 基本处于Idel(空闲)状态下的。而这个程序居然在偷偷地运行,且占用了如此多 的CPU资源!从它的名字看,它似乎是个很重要的程序。但我仍然觉得可疑:我怎 么不记得系统有这个程序呢?
先不忙作出判断。我又进入了系统配置工具(System Configuration Utility), 到启动(Startup)标签中看看。果然,也有一个名为Kernel32.exe的程序被加到了 启动菜单中,而且它被加载两次!另一个与众不同之处是,路径之前没有它的简 单描述,取而代之的是空白!它是什么时候被加入的呢?我更觉得可疑!我就把 它前面的勾去掉了,然后重新启动。奇怪的是,启动后,它又在运行了。而且进 入刚才的启动菜单查看,它居然自己把勾选中了!看来是个不太友好的程序!
既然此路不通,我又运行注册表编辑器。找到HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion\Run子目录,果然看到了这个程序。这下,我 又发现了它的与众不同之处:它没有建立新的子键,而是加到了Default中(正常 情况下,它的值是value not set)!无怪乎我在启动菜单中去不掉它。真是来者不 善,善者不来!毫不犹豫,我就把它给清除了。随后,我又清除了HKEY_CURRENT _USER相应子键下的值。然后重新启动。这下好了,它终于停下来,等着我把它删 除。
木马的去除:
这好办,找到它,按住Shift+Del,OK!我为什么刚才不马上把它删除呢?这是因 为它每次启动后都自动运行,我一直删不了它。只有在它不运行时,我才好下手 啊。
在我将这个特洛伊木马清除后,第二天,一个偶然的机会,在我查看文件类型时 (设置->文件夹->文件类型),发现*.log文件居然已经被关联到这个木马程序,也 就是说,如果我双击*.log文件,我将看不到什么,而一个特洛伊木马已经被启动 了。这太可怕了!还好不是病毒!我现在仍觉得心有余悸。
---------------------------------------------
一些经验:
诸如鼠标移动困难,菜单的弹出速度变慢等现像,绝对不要掉以轻心!很多木马 程序所占的系统资源很少,如果你没有足够的警惕心,很多抓住木马的机会就会 被错过。当有上述现像发生时,首先要确定系统此时是否应该有程序在后台运行 ,比如一些杀毒程序或其他Windows的计划作业等。排除这些因素,你就应该引起 警惕了!
这个木马程序有一个很不错的名字:Kernel32.exe。Kernel是核心的意思,很多 人会觉得这个程序一定是系统必须的程序而不在意。事实上,有一个叫Kernel32 .dll的文件,两者仅扩展名不同。它们的脸长得差不多,但实质可是大大不同。 后者是系统运行的重要文件,万万动不得;而前者则是个特洛伊木马,格杀勿论 !这也这是很多特洛伊木马和病毒制造者为骗取受害者信任的惯用伎俩!
要想知道有哪些程序会在系统启动时被自动加载,请打开始菜单->程序->附件-> 系统工具->系统信息,选择工具->系统配置工具,选择启动标签。这里列出了完 整的、在系统启动时会被自动加载的程序清单。你可以很方便地配置它们。也可 以找HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run子目录, 但这种修改注册表的方法只推荐有经验的用户采用。
很多人都知道,要终止一个运行中的程序,可以按Ctrl+Alt+Del,然后找到该程 序,结束它就行了。可是,有一些程序是不会出现在这个列表里的。懂得编程的 朋友应该知道这不难做到。所以得借助第三方的工具,如WinTop,才能让它们无 所遁形。
这篇文字的一个重要主角:WinTop,它是什么呢?其实很多朋友不会陌生的。它 是Microsoft Kernel Powertoys中的一个工具。Powertoys大家一定比较熟悉。在 Win95的时代,由于它包含了一系列Win95所没有的增强工具而广受欢迎。而Kern el Powertoys更是面向高级用户的几个核心增强小工具。由于Microsoft并不支持 这两套小工具以及Windows本身的改进,所以到了Win98时代,它们就淡出江湖了 。但是它们中的一些工具现在仍然很有用,比如这个WinTop,它可以很方便地查 看系统中正在运行的所有程序。虽然它没有终止程序运行这个功能,但它仍然很 有用,尤其是对付特洛伊木马。我相信在很多朋友以前的光盘上一定能找到它的 。
当然,由于木马程序的破坏通常需要里应外合,大多数的木马不如病毒般可怕。 即使运行了,也不一定会对你的机器造成危害。不过,潜在的危害还是有的。比 如,你的上网密码有可能已经跑到别人的收件箱里了!对于上网安全的讨论,这 里就不进一步讨论了。如果感兴趣或有问题,可以到精华区去看看,也可以与我 联系。
-- 放下鼠标 立地成佛
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.50.215]
|
|