网络神偷,恶性程序“网络神偷”再现

恶性程序“网络神偷”再现 - 电脑安全 - 电脑教程网

恶性程序“网络神偷”再现

日期:2007-04-01   荐:
  "网络神偷"实质是一个远程文件访问工具。曾经它名满江湖,对国内著名的门户网站造成过很大的伤害。"网络神偷DOUBLE_Q UOTATION最新版本可对本地及远程驱动器进行包括文件删除、复制、移动、修改在内的各种操作,而且可以任意修改驱动器属性、修改文件属性。与一般的远程控制黑客程序不同,它利用"反弹端口"原理控制服务端(被控制端)主动连接客户端(控制端),当发现客户端让自己开始连接时,就主动连接。这样,控制端就可以穿过防火墙,甚至还能访问控制局域网内部的电脑。   谓之"网络神偷"是因为它具有极高的隐蔽性,比以前我们熟知的"冰河"要隐蔽得多。它在端口设置、数据的收发等方面都针对反病毒软件采取了特殊的机制,比如:把监听端口设在常见的服务端口上、通过第三方个人主页来收发数据等。SexGirl.exe是捆绑了"网络神偷1.7版"服务端的程序。有人将SexGirl.exe用电子邮件群发。这使不少人中招。   “网络神偷”最新版,使用多种技术穿透防火墙,能控制局域网内的系统,加大受害面积。可以把所有数据封装成HTTP数据,这样可以骗过网络防火墙,去控制受害系统。服务器上线通知功能,让受害系统主动通知远端控制者。受感染的系统会泄密,并受到恶意者的攻击,如删除重要文件,系统不稳定等。服务端常用邮件方式被发出,所以要特别小心有附件的邮件。其服务端激活后的特点如下:   添加注册表启动项,随机自启动。注意:添加的键值是远端控制者自定义的,极具欺骗性。但都会有一个共性,就是服务端程序存在于系统目录下   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]   (远端控制者自定)= (远端控制者自定)   手工清除方法:由于该黑客软件服务端程序使用的是自定义的文件名,加大了手工清除的难度。可用以下方法进行手工清除:首先,断掉网络。其次,结束进程管理器中能结束的应用程序。最后,搜索注册表中可疑的启动项,查看这些启动程序是否位于系统目录下,如果是,就禁用,并在系统目录下移走或删除启动项中指向的可疑程序。
标签: