在各種電腦病毒中，木馬類(lèi)病毒在網(wǎng)絡(luò)上比較活躍，而且會(huì)經(jīng)常給人們帶來(lái)危害。在這里，我們向讀者介紹一些常見(jiàn)木馬類(lèi)病毒的識(shí)別和清除方法，供網(wǎng)管員們?cè)趯?shí)踐中參考。同時(shí)，也希望網(wǎng)管員們推薦一些根除其他病毒的有效方法。

1．廣外女生

“廣外女生”木馬是2001年的十大木馬之一，其可怕之處在于“廣外女生”預(yù)備端被執(zhí)行后，會(huì)每隔5分鐘自動(dòng)進(jìn)行一次進(jìn)程檢查，看是否含有“金山毒霸”、“防火墻”、“iparmor”、“tcmonitor”、“實(shí)時(shí)監(jiān)控”、“l(fā)ockdown”、“kill”、“天網(wǎng)”等字樣的進(jìn)程。如果發(fā)現(xiàn)就將該進(jìn)程終止，這使得大家最常用的各種病毒防火墻、網(wǎng)絡(luò)防火墻不能運(yùn)行與監(jiān)控。即便發(fā)現(xiàn)了該病毒的存在，也很難使用殺毒軟件來(lái)進(jìn)行查殺，因?yàn)闅⒍拒浖闅⑿枰罅康臅r(shí)間，在這個(gè)時(shí)間內(nèi)往往就被終止了進(jìn)程。而且這個(gè)木馬還有一個(gè)讓人難以處理之處，即如果手工刪除了這個(gè)程序的主文件，那么所有的EXE文件都打不開(kāi)。因?yàn)樗虴XE關(guān)聯(lián)了，只要打開(kāi)一個(gè)EXE的程序，就必須先檢查它是否在運(yùn)行，如果沒(méi)有，就自動(dòng)啟動(dòng)它，然后以參數(shù)傳遞方式打開(kāi)此EXE程序。當(dāng)手工刪除之后，系統(tǒng)會(huì)找不到它，自然參數(shù)也就傳遞不了，也就不能打開(kāi)任何EXE程序。

該病毒的清除方法如下所述。

(1)使用“開(kāi)始”→“運(yùn)行”，輸入“regedit”打開(kāi)注冊(cè)表；

(2)打開(kāi)注冊(cè)表HKEY_CLASSES_Roo]_ROOT＼exefile＼shell＼open＼command值，然后繼續(xù)第三步：

(3)刪除系統(tǒng)SYSTEM目錄下面的DIAGCFG．EXE文件；

(4)修改注冊(cè)表的HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command值為“％1”％*；

(5)打開(kāi)注冊(cè)表HKEY_LOCAL_MACHINE＼SOFTWAREhMicrosoft＼Windows＼CurrentV- ersion＼RunServices，刪除其中名稱(chēng)為“Diagnostic Confignration”的鍵值；

(6)關(guān)閉注冊(cè)表。

2．AOL Trojan

要清除AOL Trojan木馬程序，請(qǐng)按照以下步驟去做。

(1)在Windows系統(tǒng)下，取消下列文件的隱藏屬性：C：americ～1．0＼buddy1～1．exe和 C：＼Windowsks＼stem＼norton～1～regist-1．exe；

(2)重新啟動(dòng)到MS-DOS模式，刪除下面兩個(gè)文件：C：americ～1．0＼buddy1～1．exe和 C：＼Windowsks＼system＼norton～1＼regist～1．exe；

(3)重新啟動(dòng)到Windows系統(tǒng)下，編輯win．ini文件，在“Windows”下面“run=”和“l(fā)oad=”都具有特洛伊木馬程序的路徑，必須清除它們，使其成為：

run=

load=

修改完畢后，保存win．ini文件即可。

(4)打開(kāi)注冊(cè)表，找到目錄：HKEY_LOCAL_MACHINE＼SOFTWARELMicrosoft＼Windo-ws＼CurrentVersion＼Run，刪除右邊的WinProfile=C：＼command．exe；

(5)重新啟動(dòng)到Windows系統(tǒng)，就完成了AOL木馬的清除。

通過(guò)用戶名和口令保安全有局限性

由用戶名和口令實(shí)現(xiàn)安全有一定局限性。經(jīng)過(guò)仔細(xì)挑選的口令是有效果的，用戶經(jīng)常挑選非常淺顯的口令，如他們的名字、生日、電話號(hào)碼，或是寵物的名字。這些口令容易被猜測(cè)出來(lái)。在WWW服務(wù)器上，不像UNIX，在多次未成功猜測(cè)后并不會(huì)發(fā)出警告。一個(gè)頑固的黑客能通過(guò)一個(gè)口令猜測(cè)程序的方式闖進(jìn)系統(tǒng)。人們應(yīng)該對(duì)遠(yuǎn)程用戶共用他們的名字和口令而發(fā)出警告，運(yùn)用IP地址和口令限制的組合比單純運(yùn)用二者要安全得多。

另一個(gè)問(wèn)題是，口令從瀏覽器向服務(wù)器傳送時(shí)容易被截取。以任何有意義的方式都無(wú)法對(duì)其加密，所以具有一定軟件和硬件經(jīng)驗(yàn)的黑客，當(dāng)口令通過(guò)互聯(lián)網(wǎng)傳輸時(shí)可以截獲它。此外，不像一個(gè)口令在此進(jìn)程只能通過(guò)互聯(lián)網(wǎng)一次登錄，而瀏覽器每送一個(gè)口令就獲取一個(gè)被保護(hù)的文檔。當(dāng)它流過(guò)互聯(lián)網(wǎng)時(shí)，黑客能容易的竊取所傳送的數(shù)據(jù)。為避免這種情況，必須對(duì)口令等數(shù)據(jù)加密。

3．聰明基因

“聰明基因”是國(guó)產(chǎn)木馬，默認(rèn)連接端口7511。“聰明基因”的突出特點(diǎn)是采用了HTM文件圖標(biāo)，而且當(dāng)用戶打開(kāi)它時(shí)，還會(huì)自動(dòng)調(diào)用IE，然后打開(kāi)一個(gè)它在后臺(tái)生成的文件。它采取的是和幫助關(guān)聯(lián)的方式。下面介紹手動(dòng)清除方法。

(1)刪除C：＼Windows下的MBBManager．exe和Explore32．exe，再刪除C：＼Windows＼ system下的editor．exe文件。如果服務(wù)端已經(jīng)運(yùn)行，則使用進(jìn)程管理軟件終止MBBManager．exe進(jìn)程，然后在Windows下將它刪除，也可到DOS下刪除MBBManager．exe，而editor．exe在 Windows下可直接刪除。

(2)展開(kāi)注冊(cè)表到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Current- Version＼Run下，刪除串值“MainBmad BackManager”，其鍵值為C：＼Windows＼MBBM- anager．exe，每次在開(kāi)機(jī)時(shí)就被加載運(yùn)行，因此刪掉它。

(3)恢復(fù)TXT文件關(guān)聯(lián)“聰明基因”，將注冊(cè)表HKEY_CLASSES_ROOT＼txtfile＼sh- ell＼open＼command下的默認(rèn)鍵值由C：＼Windows＼LNOTEPAD．EXE％1改為C：＼Windows＼syst- em＼editor．exe％1，因此要恢復(fù)成原值。

同理，到注冊(cè)表的HKEY_LOCAL_MACHINE＼Software＼CLASS＼txtfile＼shell＼open＼com-mand下，將默認(rèn)鍵值由C：＼Windows＼system＼editor．exe%／1改回到C：＼WindowsLNOTEPAD．EXE％1，這樣就將TXT文件關(guān)聯(lián)恢復(fù)過(guò)來(lái)了。

4．Acid Shiver v1．0+1．0Mod+imacid

清除Acid Shiver木馬的過(guò)程有些復(fù)雜，可以按照以下的步驟進(jìn)行清除。

(1)重新啟動(dòng)到DOS模式，刪除C：＼Windows＼wintour．exe文件；

(2)再重新啟動(dòng)到Windows系統(tǒng)，打開(kāi)注冊(cè)表，找到目錄：HKEY_LOCAL_MACH- INE＼SOFTWAREkMicmsoft＼Windows＼CurrentVersionhRun，刪除右邊的Explorer=-“C：＼Windo-ws＼MSGSVR16．EXE”，找到目錄：HKEY_LOCAL_MACHINE＼SOFTWAREhMicrosoff＼Windo-ws＼CurrentVersion＼RunServices，刪除右邊的Explorer=“C：＼Windows＼MSGSVR16．EXE”；

(3)重新啟動(dòng)到DOS模式，刪除C：＼Windows＼wintour．exe，然后回到Windows系統(tǒng)；

(4)打開(kāi)注冊(cè)表，找到目錄：HKEY LOCAL_MACHINE＼SOFTWARELMicmsoft＼Win- dows＼CurrentVersion＼Run，刪除右邊的Wintour=“C：＼Windows＼WINTOUR．EXE”，找到目錄： HKEY_LOCAL MACHINE＼SOFTWAREkMicrosoft＼Windows＼CurrentVersion＼RunServices，刪除右邊的Wintour=“C：＼Windows＼WINTOUR．EXE”；

(5)重新啟動(dòng)Windows系統(tǒng)。

5．GOP

    GOP是Get OICQ Password的縮寫(xiě)，從這個(gè)名字我們就可以看出，這是一個(gè)獲取別人OICQ(現(xiàn)在應(yīng)該稱(chēng)為QQ)密碼的木馬軟件。用手工進(jìn)行清除的辦法如下所述。

(1)在注冊(cè)表里找到HKEY_LOCAL_MACHINE＼SOFFWARE＼Microsofi＼Windows＼Curr- entVersionLRun刪除“C：＼winnt＼system32＼kerne132．exe”的主鍵；

(2)立即重啟系統(tǒng)，重啟后馬上查找IMEKerne132．sys這個(gè)文件，打到后刪除這個(gè)文件。