Red de conocimiento informático - Espacio del host - Mi computadora se desconectaba a menudo de Internet después de ser atacada por un caballo de Troya y alguien la controlaba de forma remota. ¿Cómo matarlo?

Mi computadora se desconectaba a menudo de Internet después de ser atacada por un caballo de Troya y alguien la controlaba de forma remota. ¿Cómo matarlo?

Primero déjame decirte la solución. Instale Kaspersky y Qihoo 360 Guard y podrá sentarse y relajarse. Déjame decirte qué es un caballo de Troya.

El caballo de Troya (en adelante, caballo de Troya) se llama "Trojan horse" en inglés, y su nombre proviene del caballo de Troya de la mitología griega.

Es una herramienta de piratería basada en control remoto y tiene las características de ocultación y no autorización.

El llamado ocultamiento significa que para evitar que el troyano sea descubierto, los diseñadores del troyano utilizarán varios medios para ocultarlo, incluso si se descubre que el servidor está en peligro. infectado con el troyano, sólo puede sentirse decepcionado porque no se puede determinar su ubicación específica.

El llamado no autorizado significa que una vez que el terminal de control está conectado al servidor, el terminal de control tendrá la mayoría de los derechos operativos del servidor, incluida la modificación de archivos, la modificación del registro, el control del mouse y el teclado, etc. , y estos derechos no los otorga el servidor, sino que los roba el programa troyano.

Desde la perspectiva del desarrollo del caballo de Troya, se puede dividir básicamente en dos etapas.

Al principio, la red todavía estaba en la época de la plataforma UNIX y surgieron los caballos de Troya. En ese momento, las funciones de los programas troyanos eran relativamente simples. A menudo incrustaban un programa en archivos del sistema y utilizaban instrucciones de salto para realizar algunas funciones del troyano. Durante este período, la mayoría de los diseñadores y usuarios de troyanos eran personal técnico, que debía tener conocimientos considerables de redes y programación.

Luego, con la creciente popularidad de la plataforma WINDOWS, han aparecido algunos programas troyanos basados ​​en operaciones gráficas. La mejora de la interfaz de usuario permite a los usuarios operar caballos de Troya de manera competente sin tener demasiados conocimientos profesionales. Las intrusiones de caballos de Troya relativamente frecuentes también aparecen con frecuencia y, debido a que las funciones de los caballos de Troya se vuelven cada vez más perfectas durante este período, causan un daño mayor al servidor.

Así que, a medida que el caballo de Troya se ha desarrollado hasta el día de hoy, ha hecho todo lo que puede. Una vez que un caballo de Troya se apodere de ella, su computadora ya no tendrá secretos.

En vista del enorme daño causado por los caballos de Troya, los presentaremos en detalle en tres partes: artículo original, defensa y contraataque e información. Espero que todos tengan un conocimiento sólido de los caballos de Troya como medio de ataque.

Texto original

Conocimientos básicos

Antes de presentar los principios del caballo de Troya, debemos explicar algunos conocimientos básicos del caballo de Troya de antemano, porque hay Hay muchas cosas que mencionar a continuación sobre estos contenidos.

Un sistema troyano completo consta de una parte de hardware, una parte de software y una parte de conexión específica.

(1) Parte de hardware: la entidad de hardware necesaria para establecer una conexión troyana. Terminal de control: La parte que controla remotamente el servidor. Servidor: La parte controlada remotamente por el terminal de control. Internet: Portador de red para control remoto y transmisión de datos desde el terminal de control al terminal de servicio.

(2) Parte de software: el programa de software necesario para realizar el control remoto. Programa de terminal de control: programa utilizado por el terminal de control para controlar remotamente el servidor. Caballo de Troya: programa que se infiltra en un servidor y obtiene permiso para operarlo. Programa de configuración de troyanos: un programa que establece números de puerto, condiciones de activación, nombres de troyanos, etc. Hazlo mejor oculto en el servidor.

(3) Parte específica de conexión: los elementos necesarios para establecer un canal troyano entre el servidor y el terminal de control a través de Internet. IP de control e IP del servidor: Las direcciones de red del control y del servidor también son los destinos para la transmisión de datos por parte de los caballos de Troya. Puerto de control, puerto del caballo de Troya: la entrada de datos del extremo de control y del extremo del servidor, a través de la cual los datos pueden llegar directamente al programa del extremo de control o al programa del caballo de Troya.

Caballo de Troya

El uso de Trojan como herramienta de piratas informáticos para llevar a cabo una intrusión en la red se puede dividir aproximadamente en seis pasos (consulte la figura a continuación para obtener más detalles). Expongamos los principios del ataque de los troyanos basándonos en estos seis pasos.

1. Configurar el caballo de Troya

En general, un troyano bien diseñado tiene un programa de configuración de troyano.

A juzgar por el contenido de configuración específico, implementa principalmente las dos funciones siguientes:

(1) Camuflaje de troyano: para ocultar el troyano lo mejor posible en el servidor, el programa de configuración de troyano utilizará varios métodos de camuflaje. Por ejemplo, modificar iconos, vincular archivos, personalizar puertos, autodestruirse, etc. Cubriremos esto en detalle en la sección "Propagación de troyanos".

(2) Comentarios de información: el programa de configuración del troyano establecerá el método o la dirección de los comentarios de información, como configurar la dirección de correo electrónico, el número de IRC, el número de ICO, etc. para los comentarios de información. Cubriremos los detalles en la sección "Comentarios".

Dos. Difusión de troyanos

(1) Método de transmisión:

Hay dos formas principales de propagar virus troyanos: una es a través del correo electrónico y el terminal de control envía el programa troyano como un archivo adjunto. puede infectarse con virus troyanos simplemente abriendo el sistema de archivos adjuntos; otro son las descargas de software. Algunos sitios web informales vinculan troyanos a programas de instalación de software con el pretexto de proporcionar descargas de software. Después de la descarga, estos programas instalarán automáticamente el troyano tan pronto como se ejecuten.

(2) Modo de camuflaje:

En vista de la nocividad de los troyanos, muchas personas todavía tienen cierta comprensión de los troyanos, lo que tiene un cierto efecto inhibidor sobre la propagación de los troyanos. Esto es un troyano. El diseñador no quiere verlo. Por lo tanto, desarrollaron varias funciones para disfrazar los troyanos para reducir la vigilancia de los usuarios y engañarlos.

(1) Modificar el ícono

Cuando ves este ícono en un archivo adjunto de correo electrónico, ¿crees que es un archivo de texto? Pero te digo que podría ser un troyano. Hoy en día existen troyanos que pueden cambiar el ícono del programa servidor troyano por los íconos de varios archivos como HTML, TXT, ZIP, etc. Es bastante confuso. Sin embargo, actualmente hay muy pocos troyanos que proporcionen esta función y este disfraz no es impecable. No hay necesidad de estar nervioso y desconfiado todo el día.

(2) Archivo de paquete

Este método de disfraz consiste en vincular el caballo de Troya a un programa de instalación. Cuando se ejecuta el instalador, el troyano se cuela en el sistema sin que el usuario lo sepa. En cuanto a los archivos incluidos, generalmente son archivos ejecutables (es decir, EXE, COM y otros archivos).

(3) Visualización de errores

Cualquiera que tenga ciertos conocimientos sobre caballos de Troya sabe que si no hay respuesta al abrir un archivo, probablemente se trate de un programa troyano, y los diseñadores Los caballos de Troya también son conscientes de este defecto y algunos troyanos proporcionan una función llamada visualización de errores. Cuando el usuario del servidor abre el programa troyano, aparecerá un cuadro de mensaje de error como el que se muestra a continuación (por supuesto, esto es falso). El contenido del error se puede definir libremente y la mayoría de ellos se personalizarán con un mensaje como "¡El archivo está dañado y no se puede abrir!". Cuando el usuario del servidor cree que es cierto, el caballo de Troya ha invadido silenciosamente el sistema.

(4) Puertos personalizados

Muchos puertos troyanos antiguos están reparados, lo que facilita determinar si el troyano está infectado. Simplemente verifique un puerto específico y sabrá qué ha infectado el troyano. Por eso ahora muchos troyanos nuevos han agregado la función de puertos personalizados. El usuario final del control puede seleccionar cualquier puerto entre 1024 y 65535 como puerto del troyano (los puertos inferiores a 1024 generalmente no se seleccionan) para determinar si el troyano está infectado.

(5)Autodestrucción

Esta función es para compensar un defecto del caballo de Troya. Sabemos que cuando un usuario del servidor abre un archivo que contiene un caballo de Troya, el caballo de Troya se copiará a sí mismo en la carpeta del sistema WINDOWS (en el directorio C:WINDOWS o C:WINDOWSSYSTEM). En términos generales, el tamaño del archivo troyano original en la carpeta del sistema y el archivo troyano son los mismos (excepto el archivo troyano incluido), por lo que los amigos que han sido atacados por troyanos solo necesitan verificar las cartas recibidas recientemente y los archivos descargados. Busque el caballo de Troya original en el software y luego vaya a la carpeta del sistema para buscar archivos del mismo tamaño según el tamaño del caballo de Troya original para determinar cuál es el caballo de Troya.

La función de autodestrucción del troyano significa que después de instalar el troyano, el archivo troyano original se destruirá automáticamente. Por lo tanto, es difícil para los usuarios del servidor encontrar el origen del troyano y es difícil eliminarlo sin utilizar el troyano. herramientas para matar.

(6) Cambio de nombre del troyano

Los nombres de los archivos troyanos instalados en la carpeta del sistema generalmente son fijos, por lo que solo necesita buscar en la carpeta del sistema de acuerdo con algunos artículos sobre cómo eliminar troyanos. Con archivos específicos puede determinar qué troyanos le han atacado. Por lo tanto, muchos troyanos ahora permiten a los usuarios del control personalizar libremente el nombre del archivo troyano instalado, lo que dificulta determinar el tipo de troyano infectado.

Paso 3: Ejecute el caballo de Troya

Después de que el usuario del servidor ejecute el troyano o un programa vinculado al troyano, el troyano se instalará automáticamente. Primero cópiese a la carpeta del sistema de WINDOWS (directorio C: WINDOWS o C: WINDOWS SYSTEM) y luego configure las condiciones de activación del troyano en el registro, el grupo de inicio y el grupo que no es de inicio, completando así la instalación del troyano. . Después de la instalación, puede iniciar el troyano. El proceso específico se muestra en la siguiente figura:

(1) El caballo de Troya se activa mediante la condición de activación

La condición de activación se refiere a la condición que activa el caballo de Troya, que generalmente aparece en los siguientes ocho lugares:

1. Registro: abra los cinco valores clave de Run y ​​RunServices en HKEY_Local_machinesoftwaremicrosoftwindowscurentversion y busque los valores clave que pueden usarse para iniciar el troyano.

2.win.ini: c: Hay un archivo de configuración win.ini en el directorio de Windows, que se abre en modo texto. En el campo [Windows], hay comandos de inicio cargar = y ejecutar =, que generalmente están vacíos. Si hubiera un iniciador, podría ser un caballo de Troya. 3.system.ini: C: Hay un sistema de archivos de configuración. ini, que se abre como texto. Hay líneas de comando en [386Enh], [mic] y [drivers32] donde se puede encontrar el comando de inicio del troyano.

4.Autoexec.bat y config.sys: estos dos archivos en el directorio raíz de la unidad c también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario en el extremo de control establezca una conexión con el servidor y luego cargue el archivo con el mismo nombre en el servidor para sobrescribir los dos archivos.

5.*.INI: Archivo de configuración de inicio de la aplicación. El terminal de control utiliza la función de estos archivos para iniciar el programa y carga el archivo con el mismo nombre que el comando de inicio del troyano al servidor para sobrescribir el archivo con el mismo nombre e iniciar el troyano.

6. Registro: abra la clave principal HKEY_Class_RootFileType\shellopencommand para ver su valor de clave. Por ejemplo, el troyano doméstico "glacier" modifica el valor de la clave en HKEY_Class_root. Finalmente, resulta que el archivo se abre con el Bloc de notas. También debe tenerse en cuenta que no solo los archivos TXT, sino también el troyano pueden iniciarse. modificando el valor de la clave del comando de inicio de HTML, EXE, ZIP y otros archivos. La única diferencia es el "tipo de archivo". La clave principal es TXT y ZIP es WINZIP. p>

7. Agrupar archivo: para lograr esta condición de activación, el extremo de control y el servidor primero deben establecer una conexión a través de un troyano y luego el usuario en el extremo de control utiliza una herramienta para agrupar el archivo troyano con una aplicación. y luego lo carga en el servidor para sobrescribir el archivo original. De esta manera, incluso si se elimina el troyano, se reinstalará siempre que se ejecute la aplicación incluida con el troyano. Menú de inicio: puede haber condiciones de activación del caballo de Troya en la opción "Inicio-Programa-Inicio".

(2) El proceso de ejecución del caballo de Troya

Después de activar el troyano, ingresa a la memoria y abre el puerto troyano predefinido, preparándose para establecer una conexión con el terminal de control. . En este punto, el usuario del servidor puede escribir NETSTAT -AN en modo MS-DOS para verificar el estado del puerto. Generalmente, los puertos no se abren cuando una PC está desconectada. Si hay un puerto abierto, preste atención a si está infectado con troyanos. Los siguientes son dos ejemplos del uso del comando NETSTAT para verificar el puerto después de que la computadora está infectada con troyanos:

Donde ① es el estado de visualización cuando se establece la conexión entre el servidor y el terminal de control, ② es el estado entre el servidor y el terminal de control Muestra el estado cuando la conexión aún no se ha establecido.

En el proceso de navegación por Internet, debes abrir algunos puertos para descargar software, enviar cartas, chatear online, etc. Los siguientes son algunos puertos de uso común:

(1) Puertos entre 1 y 1024: estos puertos se denominan puertos reservados y se usan especialmente para algunos programas de comunicación externos, como FTP que usa 21 y SMTP que usa 25. usando 110 POP3, etc. Sólo unos pocos troyanos utilizan puertos reservados como puertos troyanos.

(2) Puertos serie superiores a 1025: al navegar por Internet, el navegador abrirá varios puertos serie para descargar texto e imágenes al disco duro local. Todos estos puertos son puertos serie superiores a 1025.

(3) Puerto 4000: Este es el puerto de comunicación de OICQ.

(4) Puerto 6667: Este es el puerto de comunicación de IRC. A excepción de los puertos mencionados anteriormente, básicamente se pueden descartar. Si descubre que hay otros puertos abiertos, especialmente puertos con valores mayores, debe sospechar si está infectado con un troyano. Por supuesto, si el troyano tiene la función de personalizar puertos, cualquier puerto puede ser un puerto de troyano.

Cuatro. Fuga de información:

En términos generales, los troyanos bien diseñados tienen mecanismos de retroalimentación de información. El llamado mecanismo de retroalimentación de información significa que después de que el caballo de Troya se haya instalado exitosamente, recopilará cierta información de software y hardware del servidor y notificará al usuario final del control a través de CORREO ELECTRÓNICO, IRC o ICO.

A partir de la información de retroalimentación, el terminal de control puede conocer cierta información de software y hardware del servidor, incluido el sistema operativo, el directorio del sistema, la partición del disco duro, la contraseña del sistema, etc. Entre esta información, la IP del servidor es la más importante, pues sólo obteniendo este parámetro el terminal de control puede establecer conexión con el servidor. Explicaremos el método de conexión específico en la siguiente sección.

Verbo (abreviatura de verbo) para establecer una conexión:

En esta sección explicaremos cómo se establece una conexión troyana. Para establecer una conexión con el caballo de Troya, primero se deben cumplir dos condiciones: primero, el programa del caballo de Troya se ha instalado en el servidor; segundo, el terminal de control y el servidor deben estar en línea; De esta forma, el terminal de control puede establecer una conexión con el servidor a través del puerto troyano.

Supongamos que la máquina A es el terminal de control y la máquina B es el servidor. La máquina A necesita conocer el puerto troyano y la dirección IP de la máquina B para poder establecer una conexión con la máquina B. Desde el puerto troyano. Está preestablecido por la máquina A, son elementos conocidos, por lo que lo más importante es cómo obtener la dirección IP de la máquina B. Hay dos formas principales de obtener la dirección IP de la máquina B: retroalimentación de información y escaneo de IP. En cuanto al primero, se introdujo en la sección anterior, por lo que no entraré en detalles aquí. Nos centraremos en el escaneo de IP. Debido a que la máquina B tiene un programa troyano instalado, su puerto troyano 7626 está abierto, por lo que ahora la máquina A solo necesita escanear los hosts con el puerto abierto 7626 en el segmento de dirección IP. Por ejemplo, la dirección IP de la máquina B en la imagen es 202.102.47.56. Cuando la computadora A escanea la IP y descubre que su puerto 7626 está abierto, la IP se agregará a la lista. En este momento, la computadora A puede enviar una señal de conexión a la computadora B a través del programa de terminal de control troyano. El programa troyano en la computadora B responderá inmediatamente después de recibir la señal. Cuando la computadora A recibe la señal de respuesta, abrirá un puerto aleatorio 1031 y establecerá una conexión con el puerto troyano 7626 de la computadora B. En este momento, se establecerá un caballo de Troya. Vale la pena mencionar que escanear todo el rango de direcciones IP obviamente requiere mucho tiempo y es laborioso. En términos generales, el terminal de control primero obtiene la dirección IP del servidor a través de retroalimentación de información.

Porque la IP para el acceso telefónico a Internet es dinámica, es decir, la IP que utilizan los usuarios para acceder a Internet es diferente cada vez, pero esta IP cambia dentro de un cierto rango. Como se muestra en la figura, la IP de la computadora B es 202.438 002.47.56. Entonces el rango de IP de la computadora B es 202.102.000.000-202.102.255, por lo que el terminal de control puede encontrar la computadora B cada vez que busca este segmento de dirección IP.

Verbo intransitivo control remoto:

Una vez establecida la conexión troyana, aparecerá un canal entre el puerto de control y el puerto troyano.

El programa del terminal de control en el terminal de control puede contactar al programa troyano en el servidor a través de este canal y controlar remotamente el servidor a través del programa troyano. A continuación se presentan los derechos de control específicos que puede disfrutar el terminal de control, que son mucho mayores de lo que imagina.

(1) Robo de contraseñas: los troyanos pueden detectar todo el texto sin formato * o las contraseñas almacenadas en caché. Además, muchos troyanos también proporcionan una función de grabación de pulsaciones de teclas, que registrará cada pulsación de tecla en el servidor, de modo que una vez que un troyano invade, la contraseña puede ser robada fácilmente.

(2) Operación de archivos: el terminal de control puede eliminar, crear, modificar, cargar, descargar, ejecutar, cambiar propiedad y otras operaciones en archivos en el servidor a través de control remoto, cubriendo básicamente todas las operaciones en WINDOWS. Funciones de operación de archivos de la plataforma.

(3) Modificar el registro: el extremo de control puede modificar el registro del servidor a voluntad, incluida la eliminación, creación o modificación de claves primarias, subclaves y valores de clave. A través de esta función, el terminal de control puede prohibir el uso de la unidad de disquete y de la unidad de CD-ROM en el servidor, bloquear el registro en el servidor y configurar las condiciones de activación del caballo de Troya en el servidor para que estén más ocultas.

(4) Operación del sistema: este contenido incluye reiniciar o apagar el sistema operativo del servidor, desconectar la conexión de red del servidor, controlar el mouse y el teclado del servidor, monitorear las operaciones del escritorio del servidor, ver los procesos del servidor, etc. El terminal de control puede incluso enviar información al servidor en cualquier momento. Imagínese, no es sorprendente que de repente aparezca un párrafo en el escritorio del servidor.

Los caballos de Troya y los virus son tanto programas artificiales como virus informáticos. ¿Por qué mencionar únicamente el caballo de Troya? Como todos sabemos, la función de los virus informáticos en el pasado era en realidad dañar y destruir los datos de una computadora. Además de la destrucción, el resto no es más que intimidación y extorsión por parte de algunos fabricantes de virus para conseguir determinados fines o lucir su tecnología. A diferencia de los caballos de Troya, los caballos de Troya se utilizan para espiar a otros abiertamente y robar contraseñas y datos de otras personas, como robar contraseñas de administrador y contraseñas de subred para destruirlas. O, por diversión, roban contraseñas de Internet y las utilizan para otros fines, como cuentas de juegos, cuentas de acciones o incluso cuentas bancarias en línea. , para lograr el propósito de asomarse a la privacidad de otras personas y obtener beneficios económicos. Por lo tanto, los caballos de Troya son más útiles que los primeros virus informáticos y pueden lograr directamente el propósito del usuario. Muchos desarrolladores de programas con motivos ocultos escriben una gran cantidad de programas intrusivos con el fin de robar y monitorear las computadoras de otras personas. Esta es también la razón por la cual una gran cantidad de caballos de Troya están inundando Internet. En vista de estos enormes peligros de los troyanos y sus diferentes propiedades de los primeros virus, los troyanos pertenecen a una categoría de virus, pero deben separarse de los tipos de virus. Se les conoce independientemente como programas "troyanos".

En términos generales, si el programa de eliminación de troyanos de un programa de software antivirus puede eliminar un determinado caballo de Troya, entonces su propio programa antivirus ordinario también puede eliminar este caballo de Troya, porque en el caballo de Troya Hoy, cuando Los troyanos están en todas partes; diseñar una herramienta para eliminar troyanos específicamente para troyanos puede mejorar la calidad del producto de este software antivirus y beneficiar enormemente su reputación. De hecho, el software antivirus común contiene la función de detectar y eliminar troyanos. Si la gente dice que un determinado software antivirus no tiene un programa para detectar y eliminar troyanos, entonces el fabricante del software antivirus parece un poco culpable, a pesar de que su software antivirus común ciertamente tiene la función de detectar y eliminar troyanos. .

Otro punto es que separar el programa troyano de comprobación y eliminación por separado puede mejorar la eficiencia de la comprobación y eliminación.

En la actualidad, muchos programas antivirus para eliminar troyanos solo escanean y eliminan troyanos, y no verifican los códigos de virus en las bases de datos de virus de uso común. Es decir, cuando los usuarios ejecutan el programa para eliminar troyanos, el programa solo llama a los datos. en la biblioteca de códigos troyanos, lo que mejoró enormemente la velocidad de detección y eliminación de troyanos. Sabemos que la velocidad de detección de virus comunes es relativamente lenta. Porque ahora hay demasiados virus. Cada archivo debe probarse con miles de códigos troyanos, además de casi 65.438 millones de códigos de virus conocidos, ¿no es lento? ¿Se mejoran la eficiencia y la velocidad al omitir las pruebas de códigos de virus comunes? En otras palabras, el programa de eliminación de troyanos que viene con muchos programas antivirus solo mata troyanos y, por lo general, no mata virus, mientras que el programa de eliminación de virus normal que viene con ellos puede eliminar tanto virus como troyanos.

Revelando el método de arranque del caballo de Troya invisible

Los programas troyanos conocidos generalmente se inician cargando el elemento "Inicio" en el menú "Inicio", registrando [HKEY_Current_User \Software \Microsoft\Windows\Current Version\Running] y [Microsoft\Windows\Current Version\Running HKEY_LOCAL_MACHINE\Software], los troyanos más avanzados también se registrarán como programas de "servicio" del sistema, como se mencionó anteriormente. El método de inicio se puede encontrar en los elementos "Inicio" y "Servicio" de la utilidad de configuración del sistema (ejecute "Msconfig" en "Inicio → Ejecutar").

Otro método de inicio poco conocido es ejecutar "Gpedit.msc" en "Inicio → Ejecutar". Abra la Política de grupo y podrá ver que hay dos opciones en la política de la computadora local: Configuración de la computadora y Configuración de usuario. Expanda Configuración de usuario → Plantillas administrativas → Sistema → Iniciar sesión, haga doble clic en el subelemento "Ejecutar estos programas cuando los usuarios inicien sesión" para configurar las propiedades, seleccione el elemento "Habilitar" en el elemento "Configuración" y haga clic en "Mostrar " para que aparezca.

Agregue una superficie de archivo que deba iniciarse.

Reinicie su computadora y el sistema iniciará automáticamente los programas que agregó cuando inició sesión. Si simplemente agrega un caballo de Troya, nace un caballo de Troya "invisible". Debido a que el programa de inicio automático agregado de esta manera no se puede encontrar en la "Utilidad de configuración del sistema" del sistema ni en las claves de registro conocidas, es muy peligroso.

Aunque el cargador de arranque agregado de esta manera se registra en el registro, no está en [HKEY_current_user\software\Microsoft\Windows\current version\run] y [HKEY_local_ Machine\Software\Microsoft\] del registro. Windows\Current Version\Run], pero en [HKEY_Current_User\Software\Microsoft\Windows\Current Version\Policy\Explorer\Run] del registro. Si sospecha que su computadora ha sido implantada con un caballo de Troya pero no puede encontrarlo, se recomienda que ingrese el elemento [HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policy\Explorer\Run] en el registro Buscar, o vaya Haga clic en "Ejecutar estos programas cuando los usuarios inicien sesión" en la Política de grupo para ver si se inicia algún programa.

Trojan Network Bus v.1.60 Descripción en chino

Descripción general

Este programa es una herramienta de administración de control remoto y una forma de hacer felices a los amigos en una red de área local o el software global de Internet.

Dispositivo

NetBus está formado por un servidor y un cliente. El servidor debe estar instalado en las computadoras de las personas que deseas entretener. El cliente te pertenece y está controlado.

Un buen programa para fabricar ordenadores de destino.

Coloque el archivo Patch.exe del servidor NetSever (puede cambiarse el nombre) en cualquier lugar del equipo de destino y ejecútelo. De forma predeterminada, está instalado en Windows.

Se ejecuta automáticamente cuando se enciende el ordenador. Instale el cliente NetSever en su propia computadora. Inicie NetBus y conéctese al nombre de dominio o dirección IP de su elección.

Dirección); si el parche ya se está ejecutando en la computadora de destino a la que se conectó, ¡comencemos a disfrutarlo!

Nota: No verás el parche ejecutándose: se ejecuta automáticamente cuando Windows se inicia y se oculta.

El bus de red y los parches utilizan el protocolo TCP/IP. Por lo tanto, su dirección tiene un nombre de dominio o número de IP. Netbus utilizará el botón "Conectar" para conectarlo con alguien.

Energía de trabajo

* Abre/cierra el CD-ROM una vez o de forma intermitente.

*Muestra la imagen seleccionada. Si no hay una ruta al archivo de imagen, se puede encontrar en el directorio de Pacth. Admite formatos BMP y JPG.

* Cambiar los botones del mouse: el botón derecho del mouse se convierte en el botón izquierdo del mouse.

*Inicia la aplicación seleccionada.

*Reproduce el archivo de sonido seleccionado. Si no hay una ruta al archivo de sonido, se puede encontrar en el directorio Pacth. Admite formato WAV.

* Haga clic en las coordenadas seleccionadas del mouse para incluso ejecutar el mouse en la computadora de destino.

*Muestra un cuadro de diálogo en la pantalla y las respuestas se devuelven a su computadora.

*Apagar el sistema, eliminar registros de usuarios, etc.

* Explore la URL seleccionada utilizando su navegador web predeterminado.

* ¡Envía información ingresada con el teclado a la aplicación activa en la computadora de destino!

* Supervise la información de entrada del teclado de la otra parte y envíela de vuelta a su computadora.

*¡Despeja la pantalla! (Deshabilitado cuando la velocidad de conexión es lenta).

*Obtener información del ordenador de destino.

* ¡Sube tus archivos al ordenador de destino! Esta función le permite cargar la última versión de un parche.

*Subir y bajar volumen.

*Graba el sonido del micrófono y envíalo de vuelta.

*Presiona el botón una vez y habrá un sonido cada vez.

* Descargue y elimine cualquier archivo en el destino. Puede descargar/eliminar archivos seleccionados en el disco duro de la computadora de destino.

*Función de desactivación del teclado.

*Gestión protegida por contraseña.

*Registra la actividad del teclado

*Centraliza pantallas, fallos y ventanas en tu sistema.

Algunas opciones de las funciones anteriores pueden tener un retraso de varios segundos en su ejecución.

Conectar

El botón Conectar tiene una característica interesante: escanea el bus de red en busca de la dirección IP de la computadora. Una vez conectado, dejará de escanear. Escaneo de IP.

Los parámetros incluyen xx.xx.xx.xx xx, etc.

127.0.0.1 15 El rango de direcciones IP a escanear es 127.0.0.1 a 127.0.16.

Pero la mayoría de los programas antivirus no pueden eliminar los troyanos. Recomiendo troyanos para matar clientes.

En el futuro, el caballo de Troya convertirá la computadora en un "asador" y permitirá que la gente detrás de escena la controle. Mientras esté conectado a Internet, él puede controlar su host a voluntad y no podrá controlarlo a menos que desconecte la fuente de alimentación.

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

1: Cambie el archivo troyano a un archivo BMP y luego use DEBUG en su máquina para restaurarlo a EXE. Hay 20 troyanos en Internet.

2. Descargue un archivo TXT a su máquina y luego habrá un FTP^-^ específico en él. Se conectó FTP a su máquina con troyanos para descargarlos, y 20 troyanos se almacenaron en línea.

3. El método más común es descargar un archivo HTA y luego utilizar un intérprete de control web para recuperar el caballo de Troya.

Existen más de 50 troyanos en Internet.

4. Utilice scripts JS y scripts VBS para ejecutar archivos troyanos. Este tipo de troyano roba QQ más que Legend y representa aproximadamente el 10 %.

5: Se desconocen otras vías. . . . . . . . . . . . .

Ahora hablemos de métodos de prevención. . . . . . . . . No arrojes ladrillos de oro

Es decir, cambia el nombre del archivo windows\system\mshta.exe.

Cámbialo como quieras (Shit and Plague 2000 está bajo system32)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Compatibilidad ActiveX\Instalar para actividades El control crea un nuevo valor de clave basado en CLSID {6e 449683 _ C509 _ 11CF _ AAFA _ 00 a 0 b 0 b 6015C }, luego crea una clave de compatibilidad de tipo REG_DWORD bajo el nuevo valor de clave y establece el valor de clave en 0x00000400.

Y se cambia el nombre de windows\command\debug.exe y windows\ftp.exe (o se eliminan).

Algunas de las defensas de caballos de Troya recientemente populares son las más efectivas ~ ~

Por ejemplo, el popular caballo de Troya smss.exe en Internet se esconde en el archivo 98/winme/xp. c:\windows directorio 2000 c: El cuerpo de un caballo de Troya en \winnt. .....

Si gana este caballo de Troya, primero usamos el administrador de procesos para finalizar el caballo de Troya smss.exe en ejecución, y luego en el directorio C:\windows o c:\winnt\ Cree un smss.exe falso y configúrelo como atributo de solo lectura ~ (Si el formato de disco NTFS 2000/XP es mejor, puede usar "Configuración de seguridad" para configurarlo para lectura). De esta manera, el caballo de Troya será ido ~ No seré infectado en el futuro De esta manera.

Muy eficaz.

Después de dicha modificación, ahora estoy buscando sitios web troyanos enviados por otros para realizar pruebas. Los resultados experimentales muestran que después de visitar unos 20 sitios web troyanos, unos 15 Rising alertarán a la policía y los otros 5 Rising no alertarán a la policía. Pero no se agregaron nuevos archivos EXE a mi máquina y no aparecieron nuevos procesos. Sólo dejó algunos rastros del caballo de Troya en la carpeta temporal de IE. No se ejecutó y no era peligroso. Por lo tanto, se recomienda limpiar la carpeta temporal y IE con frecuencia.

El nombre troyano proviene de una antigua leyenda griega y hace referencia al control de otro ordenador a través de un programa específico (programa troyano). Los caballos de Troya suelen tener dos programas ejecutables: uno es el cliente, que es el extremo de control, y el otro es el lado del servidor, que es el extremo controlado. Para evitar que se descubriera el troyano, los diseñadores del troyano utilizaron varios medios para ocultarlo. Una vez que el servicio troyano se esté ejecutando y conectado a través del terminal de control, su terminal de control tendrá la mayoría de los derechos operativos del servidor, como agregar contraseñas a la computadora, navegar, mover, copiar y eliminar archivos, modificar el registro, cambiar las configuraciones de la computadora, etc.

Con el desarrollo de la tecnología de creación de virus, los programas troyanos representan una amenaza cada vez mayor para los usuarios. En particular, algunos programas troyanos utilizan medios extremadamente astutos para ocultarse, lo que dificulta que los usuarios normales los detecten después. siendo envenenado.

Para evitar el daño de los caballos de Troya, se deben tomar las siguientes medidas:

Primero, instale un software antivirus y un firewall personal, y actualícelos a tiempo.

En segundo lugar, establezca el nivel de seguridad del firewall personal para evitar que programas desconocidos envíen datos al mundo exterior.

En tercer lugar, puede considerar utilizar navegadores y herramientas de cliente de correo electrónico con mayor seguridad.

En cuarto lugar, si utiliza el navegador IE, debe instalar Kaka Security Assistant para evitar que sitios web maliciosos instalen software desconocido y complementos del navegador en su computadora para evitar ser invadidos por caballos de Troya.