“揪”出盗号木马
2007-11-11 06:19:01 来源:WEB开发网盗号木马,相信对网游玩家们来说最最深恶痛绝的木马了。中了这个木马,就意味着多少个日日夜夜,多少个打拼撕杀得来的战利都将消失。因此。防御木马,特别是盗号木马,是不容置疑的!为了确定你的计算机是否中了盗号木马程序,我们可以通过下面的措施来检测,并使用相关的木马防范工具来防范木马程序。
追踪木马痕迹
1.检查注册表
在Windows中依次点击“开始”→“运行”,输入“regedit”,回车后打开注册表编辑器,找到并展开“H K E Y _ L O C A L_MACHINE\SOFTWARE\Microsoft\W i n d o w s \ C u r r e n t V e r s i o n ”和“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”,看看其中有没有可以的键值项,如果有先删除,再删除相应的程序。
2.检查启动组
当系统中了木马之后,往往会隐藏在启动组里,为了清除这些文件,我们可以打开注册表编辑器, 依次展开“H K E Y _CURRENT_USERSoftwareMicrosoft/Windows/Current Version/Explorer/ShellFolders”,看看“Startup”是否设置的是默认的开始启动组。
3.检查Win.ini 和System.iniWin.ini 和System.ini 也是木马程序经常光顾的地方,为了防范木马的攻击,我们可以依次点击“ 开始” → “ 运行”, 输入“msconfig”,回车后打开“系统配置实用程序”窗口。选择“WIN.INI”选项卡,在[Windows]小节下的load 和run 后面看看有没有特别的程序;选择“SYSTEM.INI”选项卡,看看[boot]小节的Shell=Explorer.exe后面是不是加了其它的内容。如果有,很有可能是木马程序。
斩马战场
为了防止因为感染木马,而出现密码丢失的情况,我们可以从网上下载木马程序来清除它们。这里以“木马客星”为例,可以查杀多种木马程序,其中就包括网络游戏盗号木马程序。
首先运行“木马客星”,单击“扫描内存”按钮就可以对当前内存进行扫描,看看有无木马程序;单击“扫描硬盘”可以对硬盘进行全方位的扫描,并列出病毒。另外,单击“设置”按钮可以设置软件的扫描选项,比如扫描的文件类型,还可以设置防火墙等。
另外,我们还可以使用手工清楚方法。
只要你了解该木马所生成的文件以及它的行为。现在我们以一个盗传奇号的木马为例,它是加载到Explore 文件里的木马,你的安全卫士会向你报告:FoundVirusTime:2004年5月24日9:50FileName:SysModule32.DLLFilePath:C:\WINDOWS\SYSTEMVirusName:Trojan.PSW.Legendmir.17.hook
碰到这个木马,会有这样的情况虽然你用杀毒软件杀了,但下次开机时还是会出现.
一查这个SysModule32.dll 是Explore 里,删了这个文件不行.因为正被Win使用,当然改也不行了,更别说终止了⋯⋯
这是D e l p h i 写的偷传奇密码的木马Trojan.Legend.ga.enc。由四个文件组成:“expl0rer.exe”、“MFCD3O.DLL”、“SysModule64.DLL”、“SysModule32.DLL”
⋯⋯它能获得你的账号、密码、角色、性别等信息。
现在,我们就进入手工杀毒。利用计算机的查找程序,搜索“Msdnhome.htm”和“D x m u s i c . e x e ”,分别在“C :\Windows\System32”目录下找到这个两个文件, 立刻将其删除掉; 然后再寻找“Ldpowerpor.dll”,不过没有找到,估计是需要D x m u s i c . e x e 运行后才释放“Ldpowerpor.dll”,因为我已将进程终止了,所以“Ldpowerpor.dll”就没有出现。 接下来是修改注册表了,在找到R u n 项的LoadPowerproFile 键值后,将前面的“LdPowerpor.dll,”字段删除掉。重新启动计算机,如果里面没有“Dxmusic.exe”进程了,看来木马清除成功。
防范木马
目前可以防范木马的程序很多,比如使用各种杀毒程序的防火墙工具。比如使用金山网镖来防范木马。在Internet 中,有一些不法玩家利用木马工具盗取其它玩家的网络游戏密码,金山网镖6.0 为广大网络游戏玩家提供网络游戏安全保护功能。当金山网镖6.0 检测到系统中有盗取网络游戏密码的木马时,会提示用户,并拦截此类恶意程序,使其无法访问网络,从根本上防止用户网络游戏密码被盗。当金山网镖6.0检测到系统中有盗取网络游戏密码的木马时,会弹出如下对话框对你进行提示。单击“确定”按钮就可以阻止盗号木马的运行。
最后还要特意提醒各位玩家的是,如果你发现你的电脑有任何怪象:速度奇慢,系统资源被莫明占用,不断有大量数据包向外发送的时候,你要立即把网线断开,以免有重大损失。
作者:太阳
更多精彩
赞助商链接