看清木馬藏身地 學會通用排查技術

　　木馬取自古希臘神話的特洛伊木馬記，是一種基於遠程控制的黑客工具，具有很強的隱藏性和危害性。為了達到控制服務端主機的目的，木馬往往要采用各種手段達到激活自己，加載運行的目的。這裡，我們簡要的介紹一下木馬通用的激活方式，它們的藏身地，並通過一些實例來讓您體會一下手動清除木馬的方法。

　　●在Win.ini中啟動木馬：

　　在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”，在一般的情況下“=”後面是空的，如果後面跟有程序，比如：

　　run=C:\Windows ile.exe load=C:\Windows ile.exe

　　則這個file.exe很有可能就是木馬程序。

　　●在Windows XP注冊表中修改文件關聯：

　　修改注冊表中的文件關聯是木馬常用的手段，如何修改的方法已在本系列的前幾文中有過闡述。舉個例子，在正常情況下txt文件的打開方式為Notepad.exe(記事本)，但一旦感染了文件關聯木馬，則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”，就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的鍵值“C:\Windows otepad.exe %1”修改為“C:\WindowsSystemSysexplr.exe”，這樣，當你雙擊一個txt文件時，原本應該用記事本打開的文件，現在就成了啟動木馬程序了。當然，不僅是txt 文件，其它類型的文件，如htm、exe、zip、com等文件也都是木馬程序的目標，要小心。

　　對這類木馬程序，只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支，查看其值是否正常。

　　●在Windows XP系統中捆綁木馬文件：

　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起，上傳到服務端覆蓋原有文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被重新安裝了。如果捆綁在系統文件上，則每次Windows XP啟動都會啟動木馬。

　　關閉注冊表，自學教程，打開C:\Autoexec.bat文件，刪除如下兩行：

　　@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items Del c:\win.reg

　　保存並關閉Autoexec.exe文件。

　　●IndocTrination v0.1-v0.11注冊表清除實例：

　　在注冊表中打開如下子鍵：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once

　　將這些子鍵右邊窗口中的如下鍵值項刪除：

　　Msgsrv16=“Msgsrv16”，關閉注冊表後重啟Windows，刪除C:\WindowsSystemmsgserv16.exe文件。

　　●SubSeven-Introduction v1.8注冊表清除實例：

　　打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支，在右窗口中查找到含有“C:\WindowsSystem.ini”的鍵值項數據，將它刪除。

　　打開Win.ini文件，將其中的“run=kernel16.dl”改為“run=”，5自學網，保存並關閉Win.ini文件。

　　打開System.ini文件，將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”，保存並關閉System.ini文件，重啟Windows，刪除C:\Windowskernel16.dl文件。

　　●廣外女生注冊表清除實例：

　　退到MS-DOS模式下，刪除System目錄下的diagcfg.exe。由於該病毒關聯的是exe文件，因此，現在刪除它後Windows環境下任何exe文件都將無法運行。我們先找到Windows目錄下的注冊表編輯器“Regedit.exe”，將其改名為“Regedit.com”。

　　回到Windows模式下，運行“Regedit.com”。打開HKEY_CLASSES_ROOTexefileshellopencommand，將其默認值改為“%1 %*”，刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的鍵值項“Diagnostic Configuration”。關閉注冊表。

　　回到Windows目錄，將“Regedit.com”改回“Regedit.exe”。

　　●Netbull(網絡公牛)注冊表清除實例：

　　該病毒在Windows 9X下：捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆綁：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打開：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

　　在這些子鍵下刪除鍵值項“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。

　　另外，要察看自己的機器是否中了該病毒，可以察看上面列出的文件，如果發現該文件長度發生變化(大約增加了40K左右)，就刪除它們。然後點擊[開始]|[附件]|[系統工具]|[系統文件檢查器]，在彈出的對話框中選擇“從安裝軟盤提取一個文件”，在框中填入要提取的文件(前面你刪除的)，點“確定”，按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件，如realplay.exe、QQ等被捆綁上了，那就必須把這些文件刪除後重新安裝了。

　　●聰明基因注冊表清除實例：

　　刪除C:\Windows下的MBBManager.exe和Explore32.exe，再刪除C:\WindowsSystem下的editor.exe文件。如果服務端已經運行，則要先用進程管理軟件終止MBBManager.exe這個進程後才能將它刪除。

　　打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，刪除鍵值項“MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的默認值改為“C:\WindowsNotepad.exe %1”，恢復txt文件關聯。將HKEY_CLASSES_ROOThlpfileshellopencommand的默認值改為“C:\Windowswinhlp32.exe %1”，恢復hlp文件關聯。

　　以上是一些比較典型的手動清除特洛伊木馬操作步驟，希望大家能在動手的過程中得到啟發，慢慢摸索木馬的藏身和激活規律，以達到以不變應萬變的境地。