我建议你先看这个木马的说明。在做绝伦
http://baike.baidu.com/view/2611.htm
被感染后的紧急措施
如果不幸你的计算机已经被木马光临过了,你的系统文件被黑客改得一塌糊涂,硬盘上稀里糊涂得多出来一大堆乱七八糟的文件,很多重要的数据也可能被黑客窃取。这里给你提供3条建议,希望可以帮助你:(1)所有的账号和密码都要马上更改,例如拨号连接,ICQ,mIRC,FTP,你的个人站点,免费邮箱等等,凡是需要密码的地方,你都要把密码尽快改过来。(2)删掉所有你硬盘上原来没有的东西。(4)检查一次硬盘上是否有病毒存在。木马技术篇这里就不介绍木马是如何写成的了,毕竟大多数网友不会去编写什么木马,也没有足够的知识和能力来编写,包括我自己:)
修改文件图标的方法如下:(1)下载一个名为IconForge的软件,再进行安装。(2)执行程序,按下File>Open(3)在FileType选择exe类(4)在File>Open中载入预先制作好的图标(可以用绘图软件或专门制作icon的软件制作,也可以在网上找找)。(5)然后按下File>Save便可以了。如此这般最后得出的,便是看似jpg或其他图片格式的木马了,很多人就会不经意间执行了它。
安全操作:首先单击“运行”在框中输入“mmc”后回车,会弹出“控制台1”的窗口。我们依次选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”,最后按提示完成操作。这时我们已把“IP安全策略,在本地计算机”(以下简称“IP安全策略”)添加到“控制台根节点”下。现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”,在弹出的快捷菜单中选择“创建IP安全策略”,打开IP安全策略向导,点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”(注意:在点击“下一步的同时需要确认此时“编辑属性”被选中),然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”。在寻址栏的源地址应选择“任何IP地址”,目标地址选择“我的IP地址”(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”,选中它,切换到“筛选器操作”标签栏,依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。新策略需要被激活才能起作用,具体方法是:在“新IP安全策略”上点右键,“指派”刚才制定的策略。
清除木马
近日笔者用BT下载了一个格斗游戏,运行安装程序后没有任何反应。起初笔者以为是安装程序已经损坏就顺手给删掉了,没有特别留意。但第二天开机时,金山毒霸突然无法加载。由于以前也有过类似的经历,所以笔者感觉昨天下载的那个格斗游戏多半捆绑了木马。为了安全起见,笔者立刻断掉了网络连接,然后打开“Windows任务管理器”,经过排除找到了名为“sprite.exe”的可疑进程。结束该进程后金山毒霸就可以正常运行了,但仍然无法查出木马的所在。利用Windows自带的搜索功能搜索“sprite.exe”,选择包括隐藏文件,也只搜到文件“sprite.exe”。正要删除时笔者突发奇想:木马通常进驻内存时都会自动生成一些辅助文件,何不利用Windows自带的查看文件属性功能达到一劳永逸的目的?说干就干,找到文件“sprite.exe”用右键点击,在弹出的对话框中选择“属性”,电脑显示该文件创建于2003年10月9日18:08:19。点击“开始→高级搜索”,将文件创建日期设定为10月9日,搜索……在搜索结果中找到两个创建时间为2003年10月9日18:08:19的文件:“Hiddukel.exe”和“Hiddukel.dll”(大小分别为71KB和15KB),一并删除,大功告成。后来笔者从网上了解到这种木马叫做“妖精”。最新版本的杀毒软件和防火墙均不能清除这种木马。以下是手工清除此木马的方法:1.打开注册表编辑器,找到“HKEY_CLASSES_ROOT\exefile\shell\open\command”下的“C:\Windows\System\Hiddukel.exe”键值和“HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command”下的“C:\Windows\System\Hiddukel.exe”键值后,将它们删除;2.打开C:\Windows\System目录,找到Hiddukel.exe(71KB)和Hiddukel.dll(15KB)两个文件后,将它们删除;3.查找你的电脑里是否有Sprite.exe(132KB)或者crawler.exe(131KB),如果有的话也要彻底将它们删除。现在的木马多数都会在进驻内存时自动生成一些动态链接文件。笔者介绍的这种利用查看文件创建时间进行文件搜索的方法,有些时候是很好用的,感兴趣的朋友不妨试试(对于经常安装游戏和软件的玩家可能不适用)。
希望对你有用!
