驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......
这都给手工检测带来了一定的困难.
但是,通过实验我们可以清楚中毒后的计算机首先检查注册表启动组,具体为:开始-->运行
-->regedit,
和
值:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Sogtware\\Microsoft\\Windows\\CurrentVersion\\RunServer,查找KERNEL32.EXE的执行项目,如有则将两个键值删除.值得注意的是,因为\冰河\可以随意配置服务器程序的参数,如服务器文件名,断口号,密码等,因此服务器端的程序可以是随意名称,即不局限是KERNEL32.EXE,所以在这里需要具备一定的Windows知识,准确的找出可疑的启动文件,如哪不定主意的话可以与另一台电脑进行对照. 2.删除硬盘上与“冰河”有关的文件.可以按上述文件名将可疑文件找出后删除.KERNEL32.EXE(或更改为新名称)默认在\\Windows\\sytem目录下,但同样因配置的不同可以寄存与\\Windows或\\Temp目录下.
3.“冰河”的自我保护措施是很强的,它可以利用注册表的文件关联项目,在你毫不知觉的情况下复制自己重新安装.在做完上述工作后,虽然表面上“冰河”不复存在了,但当你点击打开有关文件时(如*.TXT,*EXE),“冰河”又复活了!因此为斩草除根,在上述1.2步的基础上,还应以可疑文件名为线索,全面扫描查找一遍注册表,可以发现可疑键值一一删除. 4.
按照上述方法杀掉冰河后,还应该对注册表中
下
的
键
值
HKEY_CLASS_ROOT\\txtfile\\shell\\open\\command
C:\\WINDOWS\\NOTEPAD.EXE%1 进行修正,改为:C:\\WINDOWS\\SYSTEM\\EXE%1,否则大家会发现打不开文本文件,当打开文本文件时,大家会看到'未找到程序'的提示. 5.是上述介绍杀掉木马的方法是,只是针对客户端配置的确省模式,当客户端在配置服务器程序是更换了文件名,广大网友可能就找不到了.具体的判断解决方法是\首先还是查看注册表中HKEY_CLASS_TOOT\\txtfile\\shell\\poen\\command的键值是什么,如C:\\WINDOWS\\SYSTEM\\CY.EXE%1(这里也可能是其它文件名和路径),记下来CY.EXE;查注册表中HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\\Run和 HKEY_LOCAL_MACHINE\\software\\Microsoft\\Windows\\CurrentVersion\\RunServer的键值,如也有CY.EXE,则基本上判断他就是冰河木马,最好还要再核对文件的字节数(2.0版本冰河木马字节熟为495,733字节),将以上的两个键值删除C:\\WINDOWS\\SYSTEM\\CY.EXE即可(在WIN98下是删不掉的).需要注意的是在修正注册表之前,要做好备份;要对与CY.EXE字节熟相同的文件引其高度注意,以防客户端在此前给你配置了几套冰河木马。