在网上混难免会在一些不知名的小网站上下载东西,例如软件,心中是不是感到不踏实?不用担心,如果在运行软件之前,作好了检测的准备,哪怕是能躲过杀毒软件的免杀木马也逃不出我的手掌心。下面我以软件为例,教大家检测的方法。
首先,为了能够检测出软件是否被木马加载,可以运行《木马辅助查找器》工具,在弹出的软件界面里,切换到“其他工具”标签。
一般来说,木马为了发挥其“魔爪”作用,都会将自己释放且加载到系统分区的C盘符内,所以我们在“监视目录”文本内,输入“C:\”盘符名称后,单击“开始监视”按钮,就可对C盘当前状态进行监视。
接下来运行要检测的软件,然后再返回到《木马辅助查找器》的“其他工具”页面。如果软件在C盘释放了木马,就可以在“监视结果”编辑区,查看到所释放且加载的木马文件及其路径,从而我们就可以将它及时清除。
如何防止135端口入侵
新学期到了,许多学生都要配机,新电脑的安全防卫做好了吗?能不能拒绝成为黑客的肉鸡?令人遗憾的是,很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口,一旦黑客利用135端口进入你的电脑,就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢?下面我们就为大家来揭开谜底。www.sq120.com推荐文章
小知识:每台互联网中的计算机系统,都会同时打开多个网络端口,端口就像出入房间的门一样。因为房间的门用于方便人们的进出,而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样,网络端口也可以招来很多不速之客。
一、为什么135端口会被利用来抓鸡
如今,大多数黑客都使用网页木马来捕捉肉鸡,为什么还有一些黑客老惦记着135端口呢?主要原因有两个:
一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务,因此利用它入侵不但不会引起用户注意还很方便,只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口,因此WMI入侵也被称之为135端口入侵。
另外一个原因是135端口开放的机子实在不少,这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是,连3389这样危险的端口也可以在网络上搜出不少。
小知识:WMI服务是“Microsoft Windows 管理规范”服务的简称,可以方便用户对计算机进行远程管理,在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作,而WMI服务是利用命令行操作而已。
WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的,而且是系统重要服务,这样就为入侵提供了便利。正是由于它可以进行远程控制操作,因此系统的安全性也就随之下降,因此被称之为永远敝开的后门程序。
二、黑客是怎么利用135端口抓鸡的
Step1:黑客入侵的第一步就是扫描网络中开启了135端口的远程系统。扫描使用的工具有很多,这里使用的工具是常见的《S扫描器》(下载地址:http://www.cpcw.com/bzsoft/),因为它的扫描速度非常快。单击开始菜单中的“运行”命令,输入“cmd”打开命令提示符窗口,然后输入下面一段命令:S tcp 192.168.1.1 192.168. 1.255 135 100 /save(图1)。
前面和后面的IP地址表示扫描的开始和结束地址,后面的135表示扫描的端口,100表示扫描的线程数,数值越大表示速度越快。需要特别说明的是,很多Windows系统默认限制线程为10,我们需要利用修改工具改调这个限制才行。
小提示:例如我们打开《比特精灵》的安装目录,运行其中的BetterSP2.exe,在弹出窗口的“更改限制为”选项中设置为256,最后点击“应用”按钮并且重新启动系统即可。
Step2:从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt,对文本文件中多于的信息进行删除,只保留和IP地址相关的内容。接着运行破解工具NTScan(下载地址:http://www.cpcw.com/bzsoft/),它可以对远程系统进行破解(图2)。
在NTScan窗口中的“主机文件”中设置IP地址文件,选中WMI扫描类型,然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作,破解成功的主机地址都保存在NTScan.txt中。
Step3:现在利用Recton这款工具来上传我们的木马程序(下载地址:http://www.cpcw.com/bzsoft/)。点击窗口中的“种植”标签,在NTScan.txt中寻找一个地址,接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项,并在“文件目录”设置木马程序的网页链接地址,最后点击“开始执行”按钮即可(图3)。
这样木马程序就利用135端口上传到远程主机,并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予,因此它的隐蔽性和成功率都非常高,并且适何肉鸡的批量捕捉,但是上传的木马程序一定要经过免杀处理才行。
小提示:运行黑客工具的时候需要先关闭杀毒软件,因为杀毒软件会把它们当作病毒给清除掉。
三、防范技巧
1.利用网络防火墙屏蔽系统中的135端口,这样就让黑客入侵从第一步开始就失败。除此以外,像139、445、3389这些端口也是我们要屏蔽的端品。
2.增强当前系统中管理员的账号密码的强度,比如密码至少设置6位以上,并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码,这样即使是扫描到我们的135端口也无济于事。
3.安装最新版本的杀毒软件,并且将病毒库更新到最新,这个已经是老生常谈的问题。如果有可能的话,用户最好使用带有主动防御功能的杀毒软件。
攻防博弈
攻 黑客:利用135端口的确可以捕捉到大量肉鸡,不过要花费比较多的时间。随着操作系统的不断更新,以及人们对135端口进行防范的加强,这种方法已经逐渐菜鸟化,真正的高手不屑一顾。黑客抓鸡的方法有很多,比如我们还可以利用迅雷进行捆绑木马的传播,这是个较流行的抓鸡方法。
防编辑:既然黑客利用135端口入侵,我们只要将相关功能进行禁止,或加以限制就可以了。另外,对于黑客使用迅雷进行捆绑木马的传播,除了在下载的过程中利用迅雷的安全功能进行检测以外,还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马,只要运行就会被拦截并且提示用户注意。
如何清除KL木马
读者来信:我的电脑被幕后黑手操纵了,每次打开IE都会弹出软件安装窗口,接着就开始运行自动化的安装过程。在打开IE的时候,还会弹出XP防火墙的提示窗口。我怀疑是最近闪存盘病毒,可是右键单击盘符却没有发现Auto之类的命令。www.sq120.com推荐文章
重新安装系统后,我仍然无法清除该病毒。每次都无法双击或者右键单击打开D盘。请问《电脑报》的安全专家,是什么幽灵控制了我的电脑?我应该怎么办?
安全专家:根据读者来信反映的情况,我们知道这是目前猖狂作案的KL木马下载器在搞鬼。相比起普通的闪存病毒,其侵害手段更加隐秘,一般电脑初学者无法通过重装来清除。
感染该病毒后,病毒会插入IE进程和Explorer进程来下载流氓软件,XP防火墙会弹出是否连接的窗口。显而易见,病毒是以DLL的形式插入进程来进行破坏的,而病毒的初始程序是可执行文件。
该病毒运行后会尝试感染EXE可执行文件。某些文件特别是一些软件的安装包、电子书等,被该病毒感染后会出现错误,无法正常使用。
采用常规的闪存盘病毒的清理方法,并不能完全清除KL木马下载器。KL木马下载器并不在右键菜单添加“Auto”命令,这会麻痹部分用户,其实该病毒在双击打开磁盘分区时就运行了,病毒就隐藏在分区的RECYCLER目录即回收站下,而病毒的autorun.inf文件的技术含量也大为提高。
从病毒代码中,我们发现右键菜单的“打开”和“资源管理器”命令其实是执行病毒程序,默认的双击的结果也是运行病毒。难怪用户无法发现病毒在自动运行,这也是多次重装后仍然让病毒逍遥法外的重要原因。
KL木马下载器全面清除方案
方案一:菜鸟清除法
首先,重装系统,完成后不要打开任何磁盘直接进入“我的电脑”,选择“工具→文件夹选项”命令,点击“查看”选项,在“隐藏文件和文件夹”下选择“显示所有文件和文件夹”选项,这样就可以让隐藏的病毒文件现身了。
然后,右击“我的电脑”选择“资源管理器”命令,在打开的资源管理器中检查非系统盘符下的RECYCLER(是隐藏属性)中是否有Autosetup.exe,如果有的话就进行删除,接着回到根目录删除autorun.inf文件。
一定要仔细检查所有盘符下的该目录,做到彻底清除病毒文件。最后再安装杀毒软件,修复被病毒感染的文件。
方案二:高手歼灭法
第一步:重启系统,按F8进入安全模式。使用《超级巡警》终止病毒创建的进程Services.exe、inini.exe、meecall.exe、UUSeePlayer.exe。然后删除下载的流氓软件安装包和病毒进程的文件(如C:\windows\services.exe)。
第二步:使用《冰刃》删除盘符下的autorun.inf文件、Autosetup.exe文件。这样就可以防止再次运行病毒了。
第三步:打开System Repair Engineer,进入“启动项目”选项,可以看到很多非法启动项目。选中meecall、swg、KernelFaultCheck、OSSelectReinstal、Windowsupdate、SmCtrlDrv、IdnSvr、tzc02,0,tzchange.exe /F Pacific SA Standard Time /S 10 6 2 23 59 59 999 /E 3 6 2 23 59 59 999 /G、IFEo[Explorer.exe]等删除。
还要记得删除启动程序目录下的相关文件,然后进入“系统修复”选项,选择“浏览器加载项”删除流氓软件的BHO、Activex等项目。
第四步:重新启动系统发现已经恢复正常了。不过,你会发现双击或者右键单击打开感染过病毒的盘符,会出现查找病毒文件而无法正常进入的情况,这是因为病毒自动运行的信息还在注册表里。
我们需要打开注册表编辑器进行修复,进入“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bd44e-53b7-11dc-8145-806d6172696f}”项,删除下面的shell子项即可恢复正常了(如图)。
预防技巧
KL木马下载器是一种闪存盘病毒,用户可以安装《U盘病毒免疫器》(下载地址:http://www.cpcw.com/bzsoft/)之类的安全工具进行预防。此外,我们还需要经常给系统打补丁,用《卡卡上网助手》的IE防漏墙功能来防范木马程序的自动运行。
From:http://www.itcomputer.com.cn/Article/Network/201309/408.html