역사상 가장 강력한 트로이 목마 바이러스는 무엇입니까?
1. 인터넷 불. 넷불(Netbull)로도 알려진 넷불(Netbull)은 기본 연결 포트가 23444이고 최신 버전인 V1.1이 탑재된 국내 트로이목마이다. 서버 프로그램 newserver.exe가 실행되면 C:\WINDOWS\SYSTEM에 있는 checkdll.exe에 자동으로 압축이 풀립니다. Checkdll.exe는 다음에 컴퓨터를 시작할 때 자동으로 실행되므로 매우 숨겨져 있습니다. 해로운. 동시에 서버는 실행 후 다음 파일을 자동으로 묶습니다: win9x에서: write.exe, regedit.exe, winmine.exe, winhelp.exe 묶음. winnt/2000 미만: (2000 미만에서는 파일 변경 경고가 나타나지만 다음 파일의 번들링을 방지할 수는 없습니다.) notepad.exe, regedit.exe, reged32.exe, drwtsn32.exe; 서버가 실행된 후에는 부팅 시 자동으로 실행되는 타사 소프트웨어(예: realplay.exe, QQ, ICQ 등)도 번들로 제공됩니다. Network Bull은 다음과 같이 레지스트리에 조용히 뿌리내렸습니다. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"= "C :\WINDOWS\SYSTEM\CheckDll.exe" 제 생각에는 인터넷 황소가 가장 짜증나는 것 같습니다. 파일 연결 기능을 사용하지 않고 위에 나열된 파일과 함께 제공되는 파일 묶음 기능을 사용합니다. 제거가 매우 어렵습니다. 당신은 질문하고 싶을 수도 있습니다: 왜 다른 트로이 목마는 이 기능을 사용하지 않습니까? 하하, 사실 번들링 방법을 사용하는 트로이 목마가 많이 있는데 이것도 단점이 있습니다. 자신을 노출시키기 쉽다는 것입니다! 경험이 적은 사용자가 파일 길이가 변경된 것을 발견하면 트로이 목마에 감염된 것으로 의심할 것입니다. 청소 방법: 1. Network Bull의 자체 시작 프로그램 C:\WINDOWS\SYSTEM\CheckDll.exe를 삭제합니다. 2. 레지스트리에서 Network Bull이 생성한 키 값을 모두 삭제합니다(위에 나열된 키 값 모두 삭제). 3. 위에 나열된 파일을 확인하세요. 파일 길이가 변경된 경우(약 40K 증가, 다른 컴퓨터의 일반 파일과 비교하면 알 수 있음) 삭제하세요! 그런 다음 "시작 -> 보조 프로그램 -> 시스템 도구 -> 시스템 정보 -> 도구 -> 시스템 파일 검사기"를 클릭하고 팝업 대화 상자에서 "설치 플로피 디스크에서 파일 추출(E)"을 선택한 후 내용을 입력합니다. 상자 파일(이전에 삭제한 파일)을 추출하려면 "확인" 버튼을 클릭한 다음 화면의 지시에 따라 해당 파일을 복원하십시오. realplay.exe, QQ, ICQ 등 부팅 시 자동으로 실행되는 타사 소프트웨어가 번들로 포함되어 있는 경우 해당 파일을 삭제하고 다시 설치해야 합니다. 2. Nethief라고도 알려진 Nethief Nethief는 최초의 바운스 포트 트로이 목마입니다! "반송 포트" 트로이 목마란 무엇입니까? 저자는 방화벽의 특성을 분석한 결과 대부분의 방화벽이 외부에서 시스템으로의 연결에 대해 매우 엄격한 필터링을 수행하는 경우가 많지만 시스템으로부터의 연결을 차단하지 못하는 경우가 있음을 발견했습니다(물론 두 가지 측면을 모두 갖춘 방화벽도 있습니다). 엄격한).
따라서 일반적인 트로이 목마와 달리 바운스 포트 형태의 트로이 목마는 서버(제어측)가 액티브 포트를 사용하고, 클라이언트(제어측)는 패시브 포트를 사용하여 연결이 이루어지도록 서버에 알려준다. FTP 홈페이지 공간: "지금 연결 시작!"을 입력하고 서버가 알림을 받은 후 클라이언트에 연결을 시작합니다. 은폐를 위해 클라이언트의 청취 포트는 일반적으로 80에서 열립니다. 이런 식으로 사용자가 포트 스캐닝 소프트웨어를 사용하여 자신의 포트를 확인하더라도 그가 찾은 내용은 "TCP 서버 IP 주소: 1026 클라이언트 IP 주소"와 유사합니다. : 80 ESTABLISHED" 와 약간 다릅니다. 주의하지 않으면 웹서핑을 하고 있다고 생각하게 됩니다. 방화벽도 그렇게 생각할 겁니다. 아마도 사용자가 포트 80에 연결하는 것을 허용하지 않는 방화벽은 없을 것 같습니다. 최신 소식: 국내 트로이목마 마스터들이 현재 이 트로이목마를 대규모로 테스트(사용)하고 있으며, 인터넷 도둑들이 인기를 끌고 있습니다! 트로이 목마도 나날이 늘어나고 있으니 다들 조심하셔야 합니다! 치료 방법: 1. 인터넷 도둑은 레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 아래에 "internet" 키 값을 생성하고 해당 값은 "internet.exe /s"이며 키 값을 삭제합니다. 2. 자동 시작 프로그램 C:\WINDOWS\SYSTEM\INTERNET.EXE를 삭제합니다. 좋아, 도둑은 끝났어! 3. WAY2.4(파이어 피닉스, 라스칼 보이) WAY2.4는 파이어 피닉스, 라스칼 보이로도 알려진 국내 트로이 목마 프로그램으로 기본 연결 포트는 8011이다. 많은 트로이 목마 마스터들은 이 트로이 목마를 소개하면서 강력한 레지스트리 조작 기능을 칭찬했고, 이로 인해 우리에게 더 큰 위협이 되고 있습니다. 테스트 결과에 따르면 WAY2.4의 레지스트리 작업은 정말 독특합니다. 제어된 최종 레지스트리를 읽고 쓰는 것은 로컬 레지스트리를 읽고 쓰는 것만큼 편리합니다! 이것은 모두가 익숙한 Glacier보다 훨씬 낫습니다. Glacier의 레지스트리 작업은 그다지 직관적이지 않습니다. 매번 문자를 하나씩 입력해야 할 때마다 WAY2.4가 트로이 목마의 보스라고 할 수 있습니다. 레지스트리 조작. WAY2.4 서버를 실행하면 C:\windows\system 아래에 msgsvc.exe 파일이 생성되며, 파일 크기는 235,008바이트입니다. 시스템 파일 msgsvc32.exe를 가장하려는 것 같습니다. 동시에 WAY2.4는 레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 아래에 문자열 값 Msgtask를 생성하고 해당 키 값은 C:\WINDOWS\SYSTEM\msgsvc.exe입니다. 이때 프로세스 관리 도구를 이용하여 보면 C:\windows\system\msgsvc.exe 프로세스가 나열되어 있는 것을 확인할 수 있습니다! 삭제 방법: WAY를 삭제하려면 레지스트리에서 해당 키 값을 삭제한 다음 C:\windows\system에서 msgsvc.exe 파일을 삭제하면 됩니다. msgsvc.exe는 Windows에서 직접 삭제로는 삭제할 수 없습니다. 이때 프로세스 관리 도구를 사용하여 해당 프로세스를 종료한 후 삭제할 수 있습니다. 또는 Dos에서 msgsvc.exe를 삭제할 수도 있습니다. 서버가 이미 실행 파일과 함께 번들로 제공되어 있는 경우 유일한 옵션은 해당 실행 파일도 삭제하는 것입니다! 참고: 삭제하기 전에 백업을 만드십시오. 4. Binghe Binghe는 컴퓨터를 처음 접하는 사용자라도 들어본 적이 있는 가장 유명한 트로이 목마라고 할 수 있습니다. 많은 바이러스 백신 소프트웨어가 이 바이러스를 탐지하고 제거할 수 있지만, 국내에는 여전히 수십만 대의 컴퓨터가 있습니다! 트로이 목마로서 빙허는 가장 많은 사람이 이용하고 가장 많은 사람이 쏘는 기적을 만들어냈습니다! 요즘 인터넷에는 빙하 변종 프로그램이 많이 등장하고 있는데 여기서 소개하는 것은 표준 버전인데, 표준 버전 클리어 방법을 익히면 빙하 변종을 쉽게 다룰 수 있을 것입니다. Glacier의 서버 프로그램은 G-server.exe, 클라이언트 프로그램은 G-client.exe이며 기본 연결 포트는 7626입니다.
G-server가 실행되면 프로그램은 C:\Windows\system 디렉터리에 Kernel32.exe 및 sysexplr.exe를 생성하고 자신을 삭제합니다. Kernel32.exe는 시스템이 시작될 때 자동으로 로드되며 sysexplr.exe는 TXT 파일과 연결됩니다. Kernel32.exe를 삭제하더라도 TXT 파일을 열어두기만 하면 sysexplr.exe가 활성화되어 다시 Kernel32.exe를 생성하게 되므로 빙하가 돌아왔습니다! 빙허(Binghe)가 반복적으로 삭제되는 이유도 바로 이 때문이다. 청소 방법: 1. C:\Windows\system에서 Kernel32.exe 및 Sysexplr.exe 파일을 삭제합니다. 2. Glacier는 HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run 레지스트리에 뿌리를 두고 있습니다. 키 값은 C:\windows\system\Kernel32.exe입니다. 3. 또한 레지스트리 HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices 아래에 키 값 C:\windows\system\Kernel32.exe가 있으며 이 역시 삭제해야 합니다. 4. 마지막으로 레지스트리의 HKEY_CLASSES_ROOT\txtfile\shell\open\command 아래의 기본값을 트로이 목마 뒤의 C:\windows\system\Sysexplr.exe %1에서 일반적인 상황의 C:\windows\notepad로 변경합니다. %1, TXT 파일 연결 기능을 복원할 수 있습니다. 5. 광저우 외국어 대학 소녀 광저우 외국어 대학 소녀는 광동 외국어 대학의 "광저우 외국어 대학 소녀" 네트워크 그룹의 데뷔작입니다. 매우 파괴적인 새로운 원격 모니터링 도구입니다. 원격으로 파일 업로드, 다운로드, 삭제, 레지스트리 수정 등을 할 수 있습니다. 물론 문제 없습니다. 무서운 점은 광저우 외국어 소녀 서버가 실행된 후 해당 프로세스에 "Kingsoft Antivirus", "Firewall", "iparmor", "tcmonitor", "Real-time Monitoring", "Lockdown"이 포함되어 있는지 자동으로 확인한다는 것입니다. , "Kill", "Skynet" 및 기타 단어가 발견되면 프로세스가 종료됩니다. 즉, 방화벽이 완전히 쓸모 없게 됩니다! 트로이 목마 프로그램이 실행된 후 시스템의 SYSTEM 디렉터리에 DIAGCFG.EXE라는 이름의 복사본을 생성하고 .EXE 파일을 여는 방법을 연결합니다. 파일을 성급하게 삭제하면 시스템이 손상됩니다. 완전히 파괴되었습니다. EXE 파일을 열 수 없습니다. 치료 방법: 1. 트로이 목마 프로그램 실행 중에는 파일을 삭제할 수 없으므로 순수 DOS 모드로 부팅한 후 시스템 디렉터리에서 DIAGFG.EXE를 찾아 삭제한다. 2. DIAGCFG.EXE 파일이 삭제되었으므로 Windows 환경에서 모든 .exe 파일을 실행할 수 없습니다. Windows 디렉터리에서 레지스트리 편집기 "Regedit.exe"를 찾아 이름을 "Regedit.com"으로 바꿨습니다. 3. Windows 모드로 돌아가 Windows 디렉터리(방금 이름을 바꾼 파일)에서 Regedit.com 프로그램을 실행합니다. 4. HKEY_CLASSES_ROOT\exefile\shell\open\command를 찾아 기본 키 값을 "%1" %*로 변경합니다. 5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices를 찾아 "Diagnostic Configuration"이라는 키 값을 삭제합니다. 6. 레지스트리 편집기를 닫고 Windows 디렉터리로 돌아가서 "Regedit.com"을 다시 "Regedit.exe"로 변경합니다. 7. 완료합니다. 6. 스마트진 스마트진 역시 국내 트로이 목마로, 기본 연결 포트는 7511이다.
서버 파일 게놈서버.exe는 HTM 파일 아이콘을 사용합니다. 시스템이 파일 확장자를 표시하지 않도록 설정되어 있으면 이것이 HTM 파일이라고 생각하고 속이기 쉽습니다. 클라이언트 파일 게놈클라이언트.exe. 실수로 서버 파일 게놈서버.exe를 실행하면 IE를 시작하는 척하여 HTM 파일인 것처럼 착각하게 만들고, 실행 후 GENUESERVER.htm 파일도 생성하므로 여전히 혼란스럽습니다! 어때요, 최선을 다해 노력하고 있나요? 하하, 트로이 목마가 원래 그런 거야, 협상 없이 거짓말을 할 거야! Smart Gene은 파일 연관 트로이 목마입니다. 서버에서 실행되면 C:\WINDOWS\MBBManager.exe, Explore32.exe 및 C:\WINDOWS\system\editor.exe라는 세 가지 파일이 생성됩니다. 주의를 기울이지 않으면 실제로 HTM 파일이라고 생각할 것입니다. Explore32.exe는 HLP 파일과 연결하는 데 사용되고, MBBManager.exe는 시작 시 로드 및 실행하는 데 사용되며, editor.exe는 TXT 파일과 연결하는 데 사용됩니다. MBBManager.exe를 찾아 삭제하면 실제로는 지워지지 않습니다. . HLP 파일이나 텍스트 파일을 열면 Explore32.exe와 editor.exe가 활성화됩니다! 데몬 MBBManager.exe가 다시 생성됩니다! 나를 지우고 싶니? 그렇게 쉽지는 않습니다! Smart Gene의 가장 무서운 점은 원격 호스트 드라이브를 영구적으로 숨기는 기능입니다. 제어 대상이 이 기능을 선택하면 제어 대상이 드라이브를 검색하려고 합니까? 헤헤, 쉽지 않네요! 정리 방법: 1. 파일을 삭제합니다. C:\WINDOWS에서 MBBManager.exe 및 Explore32.exe를 삭제한 다음 C:\WINDOWS\system에서 editor.exe 파일을 삭제합니다. 서버가 이미 실행 중인 경우 프로세스 관리 소프트웨어를 사용하여 MBBManager.exe 프로세스를 종료한 다음 Windows에서 삭제해야 합니다. 순수 DOS에서는 MBBManager.exe를 삭제할 수도 있고, Windows에서는 editor.exe를 직접 삭제할 수도 있습니다. 2. 자동 시작 파일을 삭제합니다. 레지스트리를 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run으로 확장하고 키 값 "MainBroad BackManager"를 삭제합니다. 해당 값은 C:\WINDOWS\MBBManager.exe입니다. 컴퓨터를 켤 때마다 로드되어 실행됩니다. 그러니 부드럽게 삭제하지 마세요! 3. TXT 파일 연결을 복원합니다. Smart Gene이 레지스트리 HKEY_CLASSES_ROOT\txtfile\shell\open\command 아래의 기본 키 값을 C:\WINDOWS\NOTEPAD.EXE %1에서 C:\WINDOWS\system\editor.exe %1로 변경했으므로 복원해야 합니다. 원래 값으로. 같은 방법으로 레지스트리에서 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command로 이동하여 이때 기본 키 값을 C:\WINDOWS\system\editor.exe %1에서 C:\WINDOWS로 변경합니다. \NOTEPAD .EXE %1, TXT 파일 연결을 복원합니다. 4.HLP 파일 연결을 복원합니다. Smart Gene은 레지스트리 HKEY_CLASSES_ROOT\hlpfile\shell\open\command 아래의 기본 키 값을 C:\WINDOWS\explore32.exe %1로 변경했으므로 원래 값인 C:\WINDOWS\WINHLP32.EXE로 복원해야 합니다. %1.
같은 방법으로 레지스트리에서 HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command로 이동하여 이때 기본 키 값을 C:\WINDOWS\explore32.exe %1에서 C:\WINDOWS\WINHLP32로 변경합니다. .EXE %1, HLP 파일 연결을 복원합니다. 글쎄, 당신은 똑똑한 유전자에게 "작별 인사"를 할 수 있습니다! 7. 블랙홀 2001 블랙홀 2001은 기본 접속 포트가 2001인 국내 트로이목마 프로그램이다. 블랙홀의 무서운 점은 프로세스를 죽이는 강력한 기능이 있다는 것입니다! 즉, 제어 측에서는 제어 측의 프로세스를 마음대로 종료할 수 있습니다. 이 프로세스가 Skynet과 같은 방화벽인 경우 보호 기능이 사라지고 해커가 시스템에 침입하여 맹렬하게 활동할 수 있습니다. Black Hole 2001 서버가 실행되면 C:\windows\system 아래에 두 개의 파일이 생성됩니다. 하나는 S_Server.exe입니다. S_Server.exe는 폴더 아이콘을 사용하는 서버의 직접 복사본입니다. 폴더가 아닌 실행 파일, 다른 하나는 windows.exe이고 파일 크기는 255,488바이트이며 정의되지 않은 유형의 아이콘을 사용합니다. Blackhole 2001은 전형적인 파일 연관 트로이 목마입니다. windows.exe 파일은 컴퓨터가 켜지면 즉시 실행되며 기본 포트 2001을 엽니다. S_Server.exe 파일은 TXT 파일 열기 방법으로 연결(즉 연관)하는 데 사용됩니다! 트로이 목마 피해자가 자신이 트로이 목마에 걸렸다는 사실을 알고 DOS에서 windows.exe 파일을 삭제하면 서버가 일시적으로 종료됩니다. 즉, 어떤 텍스트 파일이 실행되면 트로이 목마가 일시적으로 삭제됩니다. 숨겨진 S_Server.exe 트로이목마 파일이 다시 활성화되어 windows.exe 파일을 다시 생성하는 즉, 트로이목마가 다시 감염됩니다! 삭제 방법: 1) HKEY_CLASSES_ROOT\txtfile\shell\open\command 아래의 기본 키 값을 S_SERVER.EXE %1에서 C:\WINDOWS\NOTEPAD.EXE %1로 변경합니다. 2) HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command 아래의 기본 키 값을 S_SERVER.EXE %1에서 C:\WINDOWS\NOTEPAD.EXE %1로 변경합니다. 3) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\ 아래에서 문자열 값 창을 삭제합니다. 4) HKEY_CLASSES_ROOT 및 HKEY_LOCAL_MACHINE\Software\CLASSES에서 Winvxd 기본 키를 삭제합니다. 5) C:\WINDOWS\SYSTEM으로 이동하여 두 개의 트로이 목마 파일인 windows.exe 및 S_Server.exe를 삭제합니다. Black Hole 2001에 걸렸을 경우 windows.exe 파일은 Windows 환경에서 직접 삭제할 수 없으며, 이때 DOS 모드에서 삭제하거나 프로세스 관리 소프트웨어를 사용하여 Windows를 종료할 수 있습니다. .exe 프로세스를 삭제한 다음 삭제하세요. 이 시점에서 블랙홀 2001은 안전하게 클리어됩니다. 8. 넷스파이(네트워크 마법사) 네트워크 마법사라고도 알려진 넷스파이는 국내 트로이 목마로 최신 버전은 3.0이고, 기본 연결 포트는 7306이다. 이번 버전에는 레지스트리 편집 기능과 브라우저 모니터링 기능이 새로 추가되었습니다. 이제 클라이언트는 NetMonitor 없이 IE나 Navigate를 통해 원격 모니터링을 수행할 수 있습니다! 그 위력은 Glacier나 BO2000 못지않게 강력합니다! 서버 프로그램이 실행되면 C:\Windows\system 디렉터리에 netspy.exe 파일이 생성됩니다.
동시에 시스템이 시작될 때 자동으로 로드하고 실행하는 데 사용되는 레지스트리 HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\ 아래에 키 값 C:\windows\system\netspy.exe를 만듭니다. 지우기 방법: 1. 컴퓨터를 다시 시작하고 Staring windows 프롬프트가 나타나면 F5 키를 눌러 명령줄 상태로 들어갑니다. C:\windows\system\ 디렉토리에 del netspy.exe 명령을 입력하고 Enter를 누르십시오! 2. 레지스트리 HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\을 입력하고 Netspy 키 값을 삭제하여 Netspy를 안전하게 삭제하세요. 9. SubSeven SubSeven의 기능은 그 유명한 BO2K보다 훨씬 뛰어나다고 할 수 있습니다. 최신 버전은 2.2(기본 연결 포트 27374)이고 서버에는 54.5k만 있습니다! 발견되지 않고 다른 소프트웨어에 번들로 포함되는 것은 쉽습니다! 최신 버전의 Kingsoft Antivirus 및 기타 바이러스 백신 소프트웨어에서는 이를 감지할 수 없습니다. 서버 측 프로그램 server.exe, 클라이언트 측 프로그램 subseven.exe. SubSeven 서버가 실행된 후에는 변경사항이 많고, 시작할 때마다 프로세스 이름이 바뀌기 때문에 확인이 어렵습니다. 정리 방법: 1. 레지스트리 Regedit를 열고 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 및 RunService를 클릭합니다. 로드된 파일이 있으면 오른쪽 항목을 삭제합니다. Loader="C:\windows\system. \ ***". 참고: 로더와 파일 이름은 선택 사항입니다. 2. win.ini 파일을 열고 "run=" 뒤에 실행 파일 이름이 있는지 확인하고 있으면 삭제합니다. 3. system.ini 파일을 열어서 "shell=explorer.exe" 뒤에 파일이 있는지 확인하세요. 있으면 삭제하세요. 4. Windows를 다시 시작하고 일반적으로 C:\windows\system에 있는 해당 트로이 목마 프로그램을 삭제합니다. 이 컴퓨터에서 실험을 수행할 때 파일 이름이 vqpbk.exe라는 것을 발견했습니다.