冰河木马的攻击和防御

4.3删除冰河木马程序文件

1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

2、冰河会在注册表

HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。

3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为

C:/windows/system/Kernel32.exe的,也要删除。

4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。

改正后

五、 木马的防御

1 安装正版杀毒软件、个人防火墙和瑞星安全助手,并及时升级,360杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“360帐号保险柜”中,可以有效保护密码安全。

六、结论

目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术。

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4