木馬介紹

*請閱讀以下題目以便更明白木馬的知識。


什麼是木馬？


木馬，全名特洛伊木馬﹝Trojan Horse﹞，它們不是病毒，沒有傳染力，但一旦被它入侵，卻有十分危險﹝視乎入侵者而已﹞。例如被入侵的電腦會資料外洩，檔案被刪除等等。基本上這台被入侵的電腦已被入侵者全權控制了。


木馬入侵原理


木馬機本上是一個遠端管理程式， 原理是在你的電腦裏安裝server程式， 再經這server程式進入及控制你的電腦， 它可以上傳或下傳你的資料,控制你的電腦。


一個完善的木馬程式主含有以下三個檔案：
server.exe - 伺服器端程式，用來安裝在被入侵電腦上的程式，給client.exe連上。
edit server.exe - 用來設定server.exe程式的，如連接的port，登入server的密碼等等。
client.exe - 用戶端程式，是用來連接server.exe，控制被入侵的電腦的。
*注意，以上三個檔案的名稱視乎木馬程式而改變。


木馬的特性


一經被木馬入侵，即是入侵者在你電腦上安裝了server.exe， 當被入侵的電腦在每次開啟時，server.exe便會自動執行， 而且這些檔案大小很細，所以很難察覺這些檔案正在執行， 就算你按Alt + Ctrl + Delete， Windows也不會顯示這些木馬程式正在執行， 因為大部份木馬程式也是隱藏地自動執行的， 除非被入侵的電腦清除server.exe， 否則一經入便長期被入侵。
清除server.exe是十分困難的， 因為server.exe在每次電腦開啟時便會自動執行， 但在windows中正在執行的程式是無法移動及刪除的， 所以刪除過程頗為複雜。


檢驗電腦有沒有木馬


方法一：安裝防毒軟件，再用防毒軟件檢查電腦上有沒有被木馬入侵。
方法二：檢查windows中一些可以令程式在登入windows時自動立即執行的地方，有沒有一些不明來歷的檔案正在執行。


這些地方包括：
檢查Registry-command

執行c:\windows\regedit.exe
到HKEY_CLASSES_ROOT\exefile\shell\open\command


檢查Registry-Run
執行c:\windows\regedit.exe
到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


檢查Registry-RunOnce
執行c:\windows\regedit.exe
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


檢查Registry-RunServices
執行c:\windows\regedit.exe
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


檢查Win.ini﹝只限Window 9x﹞
用c:\windows\notepad.exe開啟c:\windows\win.ini
檢查有沒有RUN=xxxxx.exe(xxxxx.exe可以是任何名稱)，一般情況下不應該有這字串的。


檢查System.ini﹝只限Window 9x﹞
用c:\windows\notepad.exe開啟c:\windows\system.ini
檢查shell=Explorer.exe後有沒有xxxxx.exe(xxxxx.exe可以是任何名稱)，一般情況下不應該有這字串的。
清除木馬方法
你可以安裝防毒軟件,再用防毒軟件檢查電腦上有沒有被木馬入侵，有的話就把它刪除吧!
檢查windows中一些可以令程式在登入windows時自動立即執行的地方，有沒有一些不明來歷的檔案正在執行，有的話就打它刪除吧!
*刪除了這些不明來歷的檔案只是停止木馬的自動執行系統，完成後還要刪除這個木馬程式，才算完全清除這木馬。


預防木馬方法
安裝防毒軟件!
不要接收或安裝一些不明來歷的檔案，特別是exe檔案。因為木馬程式多是exe檔案。﹝exe檔案亦即是執行檔﹞

<转至香港黑客网>

大家小心,别好奇下载外挂!

为了让不了解木马的朋友了解木马,大家帮忙顶一下,

大家小心图片木马,定时检查系统补丁!

晕啊,还是经验不族,自己又中马了
下面的地址是用瑞星听诊器扫出来的结果:
请高手过目:
http://ttl3c.51.net/ravstre.htm

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:22:58, 日期 2005-8-30
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\rising\rfw\rfwmain.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\我的珍藏\杀毒软件\HijackThis1991汉化版\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll
O2 - BHO: IDDTInitObj Class - {15DDE989-CD45-4561-BF99-D22C0D5C2B74} - D:\PROGRA~1\sina\UC\UCddt\ddtinit.dll (file missing)
O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)
O2 - BHO: KillObj Class - {66C28884-4E5D-494B-80C9-CAA27528FD6D} - D:\PROGRA~1\sina\UC\UCddt\ddtkillw.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\system32\Rundll32.exe nmgamex.dll,LiveProcess /aa
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Sandai Technologies Inc\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 使用彩信超级自写发送到手机 - http://mms.sina.com.cn/mmsnews.html
O8 - IE右键菜单中的新增项目: 使用新浪下载助手下载 - D:\PROGRA~1\sina\UC\UCddt\sinadl.htm
O8 - IE右键菜单中的新增项目: 发送图片到手机(&M) - http://sms.sina.com.cn/diy/send.html?from=467
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - IE右键菜单中的新增项目: 收藏此页到新浪ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - IE右键菜单中的新增项目: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 江民在线杀毒 - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://online.jiangmin.com/online.asp (file missing)
O9 - 浏览器额外的按钮: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - D:\Program Files\sina\UC\UC.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {974AD624-EA50-4831-A6C0-3040F6665396} - D:\PROGRA~1\sina\UC\UCddt\rssband.dll (HKCU)
O9 - 浏览器额外的“工具”菜单项: 新浪点点通阅读器 - {974AD624-EA50-4831-A6C0-3040F6665396} - D:\PROGRA~1\sina\UC\UCddt\rssband.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://www.discoveryvillage.net/marshcam/kxhcm10.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125202524078
O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (BL_Camera) - http://gvshop.cmauto.com:8003/bl_camera.cab
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://client.jogo.cn/download/cnnic/cdn.cab
O16 - DPF: {ACFE8232-03C5-4AEC-AF5E-42B806724096} (KSHScan Control) - http://scan.kingsoft.com/scan/fangyi/KAllScan.CAB
O16 - DPF: {B83FC273-3522-4CC6-92EC-75CC86678DA4} - http://download.3721.com/download/CnsMin.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O16 - DPF: {EF6205C1-3F17-4829-BCB5-1336ED89E356} (KvScanOnline Control) - http://online.jiangmin.com/KvDown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B17ABC96-B1D3-415E-A7A5-EAB1FFCA26F2}: NameServer = 211.98.2.4 211.98.4.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8576D91-DB3E-4E83-B6DD-0E9BF0B93908}: NameServer = 10.192.16.1
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe