Registro de archivos de procesos troyanos populares
Netbull
Netbull, también conocido como Netbull, es un troyano doméstico con un puerto de conexión predeterminado 23444 y la última versión V1.1. Después de ejecutar el programa del servidor newserver.exe, se descomprimirá automáticamente en checkdll.exe, que se encuentra en C:\WINDOWS\SYSTEM. Checkdll.exe se ejecutará automáticamente la próxima vez que inicie la computadora, por lo que está muy oculto y muy oculto. dañino. Al mismo tiempo, el servidor agrupará automáticamente los siguientes archivos después de ejecutarse:
En win9x: paquete notepad.exe; write.exe, regedit.exe, winmine.exe, winhelp.exe
En winnt/2000: (En 2000, aparecerá una alarma de cambio de archivo, pero no puede impedir la agrupación de los siguientes archivos) notepad.exe; regedit.exe, reged32.exe; .
Una vez que el servidor se esté ejecutando, también se incluirá software de terceros (como: realplay.exe, QQ, ICQ, etc.) que se ejecuta automáticamente al iniciar. Network Bull también ha echado raíces silenciosamente en el registro, de la siguiente manera:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=
" C: \WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices]
"CheckDll.exe"="C:\WINDOWS\ SYSTEM\ CheckDll.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=
"C:\WINDOWS\SYSTEM\ CheckDll. exe"
En mi opinión, los toros de Internet son los más molestos. No utiliza la función de asociación de archivos, pero utiliza la función de agrupación de archivos, que se incluye con los archivos enumerados anteriormente. ¡Es muy difícil de eliminar! Quizás quieras preguntar: ¿Por qué otros troyanos no utilizan esta función? Jaja, de hecho hay muchos troyanos que utilizan métodos de agrupación, y esto también tiene una desventaja: ¡es fácil exponerse! Siempre que un usuario ligeramente experimentado descubra que la longitud del archivo ha cambiado, sospechará que ha sido atacado por un caballo de Troya.
Método de limpieza:
1. Elimine el programa de inicio automático C:\WINDOWS\SYSTEM\CheckDll.exe de Network Bull.
2. Elimine todos los valores clave creados por Network Bull en el registro (elimine todos los valores clave enumerados anteriormente).
3. Verifique los archivos enumerados anteriormente. Si encuentra que la longitud del archivo ha cambiado (aproximadamente aumentó en aproximadamente 40 K, lo que se puede saber comparándolo con archivos normales en otras máquinas), ¡bórrelos! Luego haga clic en "Inicio-gt; Accesorios-gt; Herramientas del sistema-gt; Información del sistema-gt; Herramientas-gt; Comprobador de archivos del sistema" y seleccione "Extraer un archivo del disquete de instalación (E)" en la ventana emergente. Complete los archivos que desea extraer (los archivos que eliminó anteriormente) en el cuadro, haga clic en el botón "Aceptar" y luego siga las instrucciones en pantalla para recuperar estos archivos.
Si se incluye software de terceros que se ejecuta automáticamente al iniciar, como realplay.exe, QQ, ICQ, etc., debe eliminar estos archivos y reinstalarlos.
Nethief
Nethief, también conocido como Nethief, ¡es el primer troyano de puerto de rebote!
¿Qué es un troyano de "puerto de rebote"? Después de analizar las características de los firewalls, el autor descubrió que la mayoría de los firewalls a menudo realizan un filtrado muy estricto en las conexiones a la máquina desde el exterior, pero no evitan las conexiones desde la máquina (por supuesto, también hay firewalls con ambos aspectos). estricto). Por lo tanto, a diferencia de los troyanos comunes, el servidor (lado controlado) del troyano de tipo puerto de rebote usa el puerto activo y el cliente (lado controlador) usa el puerto pasivo. Cuando se debe establecer una conexión, el cliente le informa al servidor. el espacio de la página de inicio FTP: "¡Empiece a conectarse conmigo ahora!" y entre en el estado de escucha. Después de que el servidor reciba la notificación, comenzará a conectarse con el cliente. Para ocultarlo, el puerto de escucha del cliente generalmente se abre en 80. De esta manera, incluso si el usuario usa un software de escaneo de puertos para verificar su propio puerto, encontrará una situación similar a "Dirección IP del servidor TCP: 1026 dirección IP del cliente: 80. ESTABLECIDO". Si eres un poco descuidado, pensarás que estás navegando por la web. Los firewalls también lo pensarán. Creo que probablemente no haya ningún firewall que no permita a los usuarios conectarse al puerto 80.
Jeje. Últimas noticias: los maestros troyanos nacionales están probando (utilizando) este troyano a gran escala y los ladrones de Internet se han vuelto populares. Los troyanos también aumentan día a día, ¡así que todos deben tener cuidado!
Método de limpieza:
1. El ladrón de red creará el valor clave "internet" en el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, y su valor es " internet. exe /s", elimine el valor clave;
2. Elimine su programa de inicio automático C:\WINDOWS\SYSTEM\INTERNET.EXE.
¡Vale, el ladrón ha acabado!
WAY2.4 (Fire Phoenix, Scoundrel Boy)
WAY2.4, también conocido como Fire Phoenix y Scoundrel Boy, es un programa troyano doméstico. El puerto de conexión predeterminado es 8011. . Muchos maestros de troyanos elogiaron su poderosa función de manipulación del registro al introducir este troyano y, debido a esto, representa una mayor amenaza para nosotros. A juzgar por los resultados de mi prueba, la operación de registro de WAY2.4 es realmente única. Leer y escribir el registro final controlado es tan conveniente como leer y escribir el registro local. Esto es mucho mejor que el glaciar con el que todo el mundo está familiarizado. La operación de registro del glaciar no es tan intuitiva: cada vez que tengo que escribir un carácter tras otro, se puede decir que WAY2.4 es el jefe de los troyanos. manipulación del registro.
Después de ejecutar el servidor WAY2.4, el archivo msgsvc.exe se genera en C:\windows\system. El ícono es el ícono de un archivo de texto, que está muy oculto. 235.008 bytes y la hora de modificación del archivo es. El 30 de mayo de 1998, parecía que estaba intentando hacerse pasar por el archivo del sistema msgsvc32.exe. Al mismo tiempo, WAY2.4 crea un valor de cadena Msgtask en el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, y su valor clave es C:\WINDOWS\SYSTEM\msgsvc.exe.
En este momento, si utiliza la herramienta de administración de procesos para verlo, encontrará que el proceso C:\windows\system\msgsvc.exe está en la lista.
Método de limpieza:
Para borrar WAY, simplemente elimine su valor clave en el registro y luego elimine el archivo msgsvc.exe en C:\windows\system. Cabe señalar que msgsvc.exe no se puede eliminar eliminándolo directamente en Windows. En este momento, puede usar la herramienta de administración de procesos para finalizar su proceso y luego eliminarlo. O puede eliminar msgsvc.exe en Dos. Si el servidor ya viene incluido con un archivo ejecutable, entonces la única opción es eliminar ese archivo ejecutable también. Haga una copia de seguridad antes de eliminar.
Binghe
Se puede decir que Binghe es el troyano más famoso, incluso los usuarios nuevos en computadoras han oído hablar de él. Aunque muchos programas antivirus pueden detectarlo y eliminarlo, ¡todavía hay cientos de miles de computadoras en el país! Como caballo de Troya, Glacier ha creado el milagro de ser utilizado por la mayor cantidad de personas y disparado por la mayor cantidad de personas. Hoy en día, han aparecido en Internet muchos programas de variantes de glaciares. Lo que presentamos aquí es la versión estándar. Una vez que domine cómo borrar la versión estándar, será fácil lidiar con la variante de glaciares.
El programa servidor de Glacier es G-server.exe, el programa cliente es G-client.exe y el puerto de conexión predeterminado es 7626. Una vez que se ejecuta G-server, el programa generará Kernel32.exe y sy***plr.exe en el directorio C:\Windows\system y se eliminará. Kernel32.exe se carga y ejecuta automáticamente cuando se inicia el sistema, y sy***plr.exe está asociado con el archivo TXT. Incluso si elimina Kernel32.exe, siempre que abra el archivo TXT, sy***plr.exe se activará y generará Kernel32.exe nuevamente, ¡así que el glaciar ha vuelto! Esta es la razón por la que Binghe se elimina repetidamente.
Método de limpieza:
1. Elimine los archivos Kernel32.exe y Sy***plr.exe en C:\Windows\system.
2. Glacier echará raíces en el registro HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion
\Run, el valor clave es C:\windows\system\Kernel32.exe, borrarlo.
3. En HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices en el registro, también está el valor clave C:\windows\system\Kernel32.exe, que también debe eliminarse.
4. Finalmente, cambie el valor predeterminado en HKEY_CLASSES_ROOT\txtfile\shell\open\command en el registro de C:\windows\system\Sy***plr.exe 1 después del caballo de Troya a C :\windows\notepad.exe 1 en circunstancias normales puede restaurar la función de asociación de archivos TXT.
Niñas de la Universidad de Estudios Extranjeros de Guangzhou
Niñas de la Universidad de Estudios Extranjeros de Guangzhou es el trabajo debut del grupo de red "Niñas de la Universidad de Estudios Extranjeros de Guangzhou" en la Universidad de Estudios Extranjeros de Guangdong. es una nueva herramienta de monitoreo remoto que es muy destructiva. La carga, descarga, eliminación de archivos, modificación del registro, etc., son fáciles de realizar.
Lo aterrador es que después de ejecutar el servidor de Guangzhou Foreign Language Girls, verificará automáticamente si el proceso contiene "Kingsoft Antivirus", "Firewall", "iparmor", "tcmonitor", "Real-time Monitoring", "Lockdown". , y "Kill", "Skynet" y otras palabras, si se encuentran, el proceso finalizará, lo que significa que el firewall será completamente inútil.
Después de ejecutar el programa troyano, generará una copia de sí mismo en el directorio SISTEMA del sistema, llamado DIAGCFG.EXE, y asociará el método de apertura del archivo .EXE si el archivo se elimina precipitadamente. causará el problema de que no se pueden abrir todos los archivos .EXE del sistema.
Método de limpieza:
1. Dado que el archivo no se puede eliminar cuando el programa troyano se está ejecutando, inicie en modo DOS puro, busque DIAGFG.EXE en el directorio del sistema y elimínelo. él.
2. Dado que el archivo DIAGCFG.EXE ha sido eliminado, ningún archivo .exe podrá ejecutarse en el entorno de Windows. Encontramos el editor de registro "Regedit.exe" en el directorio de Windows y le cambiamos el nombre a "Regedit.com".
3. Regrese al modo Windows y ejecute el programa Regedit.com en el directorio de Windows (el archivo que acabamos de renombrar).
4. Busque HKEY_CLASSES_ROOT\exefile\shell\open\command y cambie su valor de clave predeterminado a "1" *.
5. Busque HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ RunServices y elimine el valor clave denominado "Configuración de diagnóstico".
6. Cierre el editor de registro, regrese al directorio de Windows y cambie "Regedit.com" nuevamente a "Regedit.exe".
7. Completado.
Smart Gene
Smart Gene también es un troyano doméstico con un puerto de conexión predeterminado 7511. El archivo del servidor genomeserver.exe utiliza un icono de archivo HTM. Si su sistema está configurado para no mostrar extensiones de archivo, pensará que se trata de un archivo HTM y es fácil dejarse engañar. Archivo de cliente genomeclient.exe. Si accidentalmente ejecuta el archivo del servidor genomeserver.exe, pretenderá iniciar IE, haciéndole pensar que es un archivo HTM, y también generará el archivo GENUESERVER.htm después de ejecutarlo, ¡que todavía se usa para confundirlo! ¿Qué te parece? ¿Estás haciendo todo lo que puedes?
Jaja, así son los troyanos, ¡te mentiré sin discusión! Smart Gene es un troyano de asociación de archivos. Después de ejecutarse en el servidor, se generarán tres archivos, a saber: C:\WINDOWS\MBBManager.exe y Explore32.exe y C:\WINDOWS\system\editor.exe. usado Todos son íconos de archivos HTM. Si no prestas atención, ¡realmente pensarías que son archivos HTM!
Explore32.exe se usa para asociar con archivos HLP, MBBManager.exe se usa para cargar y ejecutar al inicio, y editor.exe se usa para asociar con archivos TXT si encuentra y elimina MBBManager.exe. , no lo aclarará realmente.
Una vez que abre un archivo HLP o un archivo de texto, ¡Explore32.exe y editor.exe se activan! ¡Vuelve a generar el demonio MBBManager.exe! ¿Quieres aclararme? ¡No es tan fácil!
Lo más aterrador de Smart Gene es su función de ocultar permanentemente la unidad host remota. Si el extremo de control elige esta función, entonces el extremo controlado tendrá problemas. Jeje, ¡no es tan fácil!
Método de limpieza:
1. Elimina el archivo. Elimine MBBManager.exe y Explore32.exe en C:\WINDOWS y luego elimine el archivo editor.exe en C:\WINDOWS\system. Si el servidor ya se está ejecutando, debe utilizar un software de gestión de procesos para finalizar el proceso MBBManager.exe y luego eliminarlo en Windows. También puede eliminar MBBManager.exe en DOS puro, y editor.exe se puede eliminar directamente en Windows.
2. Elimine el archivo de inicio automático. Expanda el registro a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y elimine el valor clave "MainBroad BackManager". Su valor es C:\WINDOWS\MBBManager.exe. Se carga y ejecuta cada vez que se enciende la computadora. Así que bórralo. ¡No seas blando!
3. Restaurar la asociación del archivo TXT. Smart Gene cambió el valor de clave predeterminado en el registro HKEY_CLASSES_ROOT\txtfile\shell\open\command de C:\WINDOWS\NOTEPAD.EXE 1 a C:\WINDOWS\system\editor.exe 1, por lo que es necesario restaurarlo en el valor original. De la misma manera, vaya a HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command en el registro y cambie el valor de clave predeterminado en este momento de C:\WINDOWS\system\editor.exe 1 a C:\WINDOWS\ NOTAPAD.EXE 1, restaurando así la asociación del archivo TXT.
4. Restaurar la asociación del archivo HLP. Smart Gene cambió el valor de clave predeterminado en el registro HKEY_CLASSES_ROOT\hlpfile\shell\open\command a C:\WINDOWS\explore32.exe 1, por lo que debe restaurarse al valor original: C:\WINDOWS\WINHLP32.EXE 1 . De la misma manera, vaya a HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command en el registro y cambie el valor de clave predeterminado en este momento de C:\WINDOWS\explore32.exe 1 a C:\WINDOWS\WINHLP32. EXE 1, restaurando así la asociación del archivo HLP.
¡Pues ya puedes decir “adiós” a los genes inteligentes!
Black Hole 2001
Black Hole 2001 es un programa troyano doméstico con un puerto de conexión predeterminado 2001. ¡Lo aterrador de un agujero negro es que tiene una poderosa función de matar procesos! Es decir, el extremo de control puede finalizar un proceso del extremo controlado a voluntad. Si este proceso es un firewall como Skynet, entonces su protección desaparecerá y los piratas informáticos pueden entrar y volverse locos en su sistema.
Después de ejecutar el servidor Black Hole 2001, se generarán dos archivos en c:\windows\system, uno es S_Server.exe y S_Server.exe es una copia directa del servidor, usando la carpeta Cuidado, este es un archivo ejecutable, no una carpeta; el otro es windows.exe, el tamaño del archivo es 255,488 bytes y utiliza un tipo de ícono indefinido. Blackhole 2001 es un troyano de asociación de archivos típico. El archivo windows.exe se usa para ejecutarse inmediatamente cuando se enciende la máquina y se abre el puerto de conexión predeterminado 2001. El archivo S_Server.exe se usa para conectarse (es decir, asociarse) con el archivo TXT. método de apertura! Cuando la víctima del troyano descubre que ha sido atacada por un caballo de Troya y elimina el archivo windows.exe en DOS, el servidor se apaga temporalmente, es decir, el caballo de Troya se elimina temporalmente cuando se ejecuta cualquier archivo de texto. El archivo oculto del caballo de Troya S_Server.exe se activa nuevamente, por lo que genera nuevamente el archivo windows.exe, es decir, ¡el caballo de Troya se infecta nuevamente!
Método de limpieza:
1). Cambie el valor de clave predeterminado en HKEY_CLASSES_ROOT\txtfile\shell\open\command de S_SERVER.EXE 1 a C:\WINDOWS\NOTEPAD.EXE 1.
2). Cambie el valor de clave predeterminado en HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command de S_SERVER.EXE 1 a C:\WINDOWS\NOTEPAD.EXE 1
3). Elimine las ventanas de valores de cadena en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\.
4) Elimine las claves principales de Winvxd en HKEY_CLASSES_ROOT y HKEY_LOCAL_MACHINE\Software\CLASSES.
5) Vaya a C:\WINDOWS\SYSTEM y elimine los dos archivos troyanos windows.exe y S_Server.exe. Cabe señalar que si ha sido atacado por Black Hole 2001, el archivo windows.exe no se puede eliminar directamente en el entorno de Windows. En este momento, podemos eliminarlo en modo DOS o usar un software de administración de procesos para cerrar Windows. .exe y luego elimínelo.
El Agujero Negro 2001 ya está despejado de forma segura.
Netspy (Network Wizard)
Netspy, también conocido como Network Wizard, es un troyano doméstico. La última versión es 3.0 y el puerto de conexión predeterminado es 7306. En esta versión, se agregaron recientemente la función de edición del registro y la función de monitoreo del navegador. ¡El cliente ahora puede realizar monitoreo remoto a través de IE o Navigate sin NetMonitor! ¡Su poder no es menos poderoso que el de Glacier y BO2000! Después de ejecutar el programa del servidor, el archivo netspy.exe se generará en el directorio C:\Windows\system. Al mismo tiempo, cree el valor clave C:\windows\system\netspy.exe en el registro HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\, que se utiliza para cargar y ejecutar automáticamente cuando se inicia el sistema.
Método de limpieza:
1. Reinicie la máquina y cuando aparezca el mensaje Staring windows, presione la tecla F5 para ingresar al estado de línea de comando. Ingrese el siguiente comando en el directorio C:\windows\system\: del netspy.exe y presione Enter.
2. Ingrese al registro HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\ y elimine el valor de la clave de Netspy para borrar Netspy de forma segura.
SubSeven
Se puede decir que las funciones de SubSeven son incluso mejores que las del famoso BO2K. La última versión es 2.2 (puerto de conexión predeterminado 27374) y el servidor solo tiene 54,5k. ¡Es fácil incluirlo en otro software sin ser descubierto! La última versión de Kingsoft Antivirus y otros programas antivirus no pueden detectarlo. El programa del lado del servidor server.exe, el programa del lado del cliente subseven.exe. Después de ejecutar el servidor SubSeven, hay muchos cambios y el nombre del proceso cambiará cada vez que se inicia, por lo que es difícil de verificar.
Método de limpieza:
1. Abra el registro Regedit, haga clic en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y RunService, si hay un archivo cargado, elimine el uno a la derecha Proyecto: loader="c:\windows\system\***". Nota: El cargador y el nombre del archivo se pueden cambiar a voluntad
2. Abra el archivo win.ini, verifique si hay un nombre de archivo ejecutable después de "run=" y elimínelo si es así.
3. Abra el archivo system.ini y verifique si hay un archivo después de "shell=explorer.exe". Si es así, elimínelo.
4. Reinicie Windows y elimine el programa troyano correspondiente, generalmente en c:\windows\system. Cuando estaba haciendo experimentos en esta máquina, descubrí que el nombre del archivo es vqpbk.exe