中了冰河木马病毒怎么办?怎么清除冰河木马
楼主你好!
外挂木马 下载后,一般会截取用户的信息!破环用户电脑软件 ,导致电脑出现卡顿 信息流失,蓝屏等问题,如果你觉得电脑中毒了,你可以下载腾讯电脑管家,它不仅永久免费,还更QQ绑定 可以加速提高QQ等级,最主要是它的强大的“鹰眼”杀毒功能,采用新一代机器学习技术,顺应了本地杀毒引擎的未来发展趋势。资源占用少,病毒识别率提高10%等功能。
关于冰河木马病毒
“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。
可以采用以下方法清除该病毒:
1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。
2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。
3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。
注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理
电脑感染冰河木马病毒怎么处理
首先不要轻易运行来历不明的软件,只要服务器端不被运行,冰河再厉害也是有力使不出,这一点非常重要。其次由于冰河的广泛流行,使得大多数杀毒软件可以查杀冰河,因此在运行一个新软件之前用杀毒软件查查是很必要的。
但由于该软件变种很多,杀毒软件如果不及时升级,难免会有遗漏,因此要保证你使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星之类的也可以。安装并运行防火墙,如此则能相对安全一些。
冰河病毒是什么?
“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。 主要用于远程监控,具体功能包括:
1.自动跟踪目标机屏幕变化2.记录各种口令信息3.获取系统信息4.限制系统功能5.远程文件操作6.注册表操作7.发送信息:以四种常用图标向被控端发送简短信息8.点对点通讯:以聊天室形式同被控端进行在线交谈。
可以采用以下方法清除该病毒:
1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。
2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。
3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。
注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理。
求冰河木马分析
一、所需工具
1.RegSnap 监视注册表以及系统文件变化的最好工具
2. IceSword 查看程序所打开的端口及进程等的工具
3.PEID 查壳工具
4.upx 加壳工具同时也具有脱壳功能
5.IDA v5.0 反汇编工具
二、分析步骤
将所有工具以及冰河的服务端传至Vmware架设的WINDOWS XP 中,一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。
首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。
然后在虚拟机上运行“冰河”的服务器端,双击server.exe。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。
从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录有什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,发现可疑项如下:
File list in C:\WINDOWS\system32\*.*:
Summary info:
Deleted files: 0
Modified files: 0
New files : 2
可见木马在system32下生成了两个新文件.生成的文件信息如下,
New files
kernel32.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02
sysexplr.exe Size: 274 944 , Date/Time: 2004年1月5日 10:00:02
生成的文件分别为kernel32.exe,sysexplr.exe,同时修改了文件的日期,从而达到隐藏的目的。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化:
Summary info:
Deleted keys: 0
Modified keys: 28
New keys : 42
修改了28项,新增了42项。
通过查看Regsnp1-Regsnp2.htm,以下信息比较可疑:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
Old value: Type: REG_EXPAND_SZ Length: 37 byte(s)
25 53 79 73 74 65 6D 52 6F 6F 74 25 5C 73 79 73 | %SystemRoot%\sys
74 65 6D 33 32 5C 4E 4F 54 45 50 41 44 2E 45 58 | tem32\NOTEPAD.EX
45 20 25 31 00 | E %1.
New value: String: "C:\WINDOWS\system32\Sysexplr.exe %1"
修改了txt文件的打开方式为先运行木马生成的文件Sysexplr.exe,从而只要用户一打开记事本就会启动木马。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@
Value: String: "C:\WINDOWS\system32\Kernel32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\@
Value: String: "C:\WINDOWS\system32\Kernel32.exe"
在以上键值里加入木马的生成文件,从而达到开机自动运行的效果。
下面开始分析它的监听端口:
打开IceSword点击端口,发现:
7626 0.0.0.0:0 LISTENING 1792 C:\WINDOWS\system32\Kernel32.exe
可见其监听端口为7626。
以上冰河基本分析完毕,下面我们进一步分析,看看它是如何实现的。
三、深入研究
PEID查看server.exe文件,显示文件加壳,壳为UPX0.89.6-1.02/1.24,我们直接用相应版本的UPX来脱壳, upx –d脱壳完成。IDA载入木马服务端server.exe。Shift+F7打开段窗口,双击进入idata段,查看引入的函数.发现里面引用了大量的注册表操作函数同时引用了winsock32.dll用来建立网络连接。
首先判断被感染对像机器的系统版本,用GetVersionEx得到系统版本,然后根据各个版本得到系统目录,计算机名,桌面宽度,当前用户之类的信息。释放病毒文件,并修改文件的属性和时间。属性被设为只读和存档。接着修改注册表,用RegOpenKeyEx打开注册表的键,然后用RegSetValue设置相关信息,如启动项之类,最后RegCloseKey关闭句柄.下面建立网络连接,用WSAAsyncSelect创建一个异步事件,然后创建socket连接,用bind绑定,端口7626就是在这里设置的。
四、查杀
通过上述分析,想要查杀此木马可以如下:
1. 进入注册表删除HKLM下的Run及RunServices里的默认项,值为C:\WINDOWS\system32\Kernel32.exe。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command里把默认项改回%SystemRoot%\system32\NOTEPAD.EXE %1。
3. 进入system32目录删除kernel32.exe和sysexplr.exe。
搞破坏,本人不负责