“特洛伊木马程序”技术是黑客常用的攻击方法。它通过在你的电脑系统隐藏一个会在windows启动时悄悄运行的程序,采用服务器/客户机的运行方式,从而达到在你上网时控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的文件、登录注册表等等。 对付此类黑客程序,我们可以采用lockdown等线上黑客监视程序加以防范,还可以配合使用cleaner、sudo99等工具软件。当然,你也可以用下面介绍的一些方法手动检查并清除相应的黑客程序: 手工检查和清除 1.back orifice(bo) 检查注册表\heky-local-machine\software\microsoft\windows\currentversion\ runservices中有无.exe键值。如有,则将其删除,并进入ms-dos方式,将\windows\system中的.exe文件删除。 2.back orifice 2000(bo2000) 检查注册表\heky-local-machine\software\microsoft\windows\currentversion\runservices中有无umgr32.exe的键值,如有,则将其删除。重新启动电脑,并将\windows\system中的umgr32.exe删除。 3.netspy 检查注册表\heky-local-machine\software\microsoft\windows\currentversion\run中有无键值spynotify.exe和netspy.exe。如有将其删除,重新启动电脑后将\windows\system中的相应文件删除。 4.happy99 此程序首次运行时,会在荧幕上开启一个名为“happy new year1999”的窗口,显示美丽的烟花,此时该程序就会将自身复制到windows95/98的system目录下,更名为ska.exe,创建文件ska.dll,并修改wsock32.dll,将修改前的文件备份为wsock32.ska,并修改注册表。 用户可以检查注册表\heky-local-machine\software\microsoft\windows\currentversion\runonce中有无键值ska.exe。如有,将其删除,并删除\windows\system中的ska.exe和ska.dll两个文件,将wsock32.ska更名为wscok32.dll。 5.picture 检查win.ini系统配置文件中“load=”是否指向一个可疑程序,清除该项。重新启动电脑,将指向的程序删除即可。 6.netbus 用“netstat -an”查看12345端口是否开启,在注册表相应位置中是否有可疑文件。首先清除注册表中的netbus的主键,然后重新启动电脑,删除可执行文件即可。 最后,我还要提醒大家注意以下几点: 1.不要轻易运行来历不明和从网上下载的软件。即使通过了一般反病毒软件的检查也不要轻易运行。对于此类软件,要用如cleaner、sudo99等专门的黑客程序清除软件检查。 2.保持警惕性,不要轻易相信熟人发来的e-mail就一定没有黑客程序,如happy99就会自动加在e-mail附件当中。 3.不要在聊天室内公开你的email地址,对来历不明的e-mail应立即清除。 4.不要随便下载软件(特别是不可靠的ftp站点)。 5.不要将重要口令和资料存放在上网的电脑里。
发表评论