接下篇-1……
四、防治木马
现在我们来说防范的方法
那就是把windows\system\mshta、exe文件改名,
改成什么自己随便(xp和win2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility\下为ActiveSetupcontrols创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00B6015C},然后在新键值下创建一个REG_DWORD类型的键Compatibility,并设定键值为0x00000400即可。
还有windows\command\debug、exe和windows\ftp、exe都给改个名字(或者删除)
一些最新流行的木马最有效果的防御:
比如网络上流行的木马smss、exe这个是其中一种木马的主体潜伏在98/winme/xpc;\windows目录下2000c;\winnt、、、、、
假如你中了这个木马首先我们用进程管理器结束正在运行的木马smss、exe然后在C;\windows或c;\winnt\目录下创建一个假的smss、exe并设置为只读属性~(2000/XPNTFS的磁盘格式的话那就更好可以用“安全设置”设置为读取)这样木马没了~以后也不会在感染了这个办法本人测试过对很多木马都很有效果的。
经过这样的修改后,木马没有被执行起来,没有危险性,所以建议大家经常清理临时文件夹和IE。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多、现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称为Loader,Loader可以是多种多样的,Windows的Rundll32、exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
“3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32C;\WINDOWS\Downlo~1\CnsMin、dll,Rundll32”,CnsMin、dll是网络实名的DLL文件,这样就通过Rundll32命令实现了网络实名的功能。
简单防御方法
DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。