如何彻底删除木马

  目前,网游盗号现象愈演愈烈,网游玩家整天提心吊胆,怕哪天盗号盗到自己的头上。难道一味地防守就能够保住我们的号吗?不行,我们要防守反击,给盗号者当头棒喝,运用法律手段保护自己的权益。本期,来自四川的刘勇,将告诉我们,他是如何来防范盗号木马并找出盗号者的信箱的。www.sq120.com推荐文章

  使用系统:Windows XP SP1
  一直以来我都非常注意个人电脑的安全防范,暗自庆幸自己的网游账号没有被黑客盗取。可是好景不长,前些时候我的账户就不幸被盗,当我将账户找回后,发现自己的网游人物已经被剥了个“精光”。
  更为可恶的是,在游戏账户丢失的同时,我的QQ密码、信箱密码也几乎同时被盗。我心里明白,自己的系统一定是中了木马程序,而且还不是一个普通的木马程序,因为一般的木马程序都只能盗取一种程序的密码,看来这个木马程序一定“不简单”啊!
寻找蛛丝马迹逮住木马“尾巴”
  首先打开注册表管理器,在其中的Run启动项中发现了可疑程序的启动项,键值名称为“getpsw”,关联的程序为“C:\WINNT\system32\qijian.exe”。
  我们知道,所有的恶意程序都会通过各种各样的方式进行程序的随机启动,而通过注册表的Run启动项是其中最常被病毒、木马、盗号工具利用的。从这些可疑的名称中我们就可以得知,这个程序是获取密码的意思。Www.ItcoMputEr.CoM.Cn
  接着来到系统的system32目录下,我们都知道system32目录一般是用于存放系统重要文件的地方。黑客正是利用了我们这些普通用户不熟悉系统目录和系统文件,不敢轻易对系统目录和文件进行操作的情况,将恶意程序安装到system32目录中,进而迷惑用户使之以为这些都是系统的必要文件。
  其实我们只要通过对恶意文件的创建日期进行查看和对比,就可以找出很多的可疑之处。我通过对“getpsw.exe”文件的属性进行查看后发现,“getpsw.exe”这个文件的创建日期为2006年,而我的Windows系统的大多数系统文件的创建日期在2001年,看来这个文件越来越可疑了。
  为了查找其他可能和“getpsw.exe”相关联的文件,首先记录下“getpsw.exe”文件的创建日期,点击“开始”菜单中“搜索”中的“文件或文件夹”命令,在弹出的搜索窗口点击“所有文件或文件夹”选项,然后通过指定日期来进行查找。果然很快又查找到两个和getpsw.exe同样日期的文件,名称分别为psw.dll和psw.bpl。
  打开任务管理器,经过认真的查看后,并没有发现可疑的进程,看来该木马使用了线程插入技术。马上又运行木马辅助查找器,点击其中的“进程监控”标签,很快就在资源管理器的进程Explorer.exe中发现了可疑的“psw.dll”。
猛追狠打,斩草除根
  现在我打算开始清除操作,首先到注册表的Run启动项中删除getpsw这个启动项,然后来到系统的system32目录找到getpsw.exe、psw.dll、psw.bpl这三个文件进行删除,由于psw.dll正在被使用,所以暂时不能被删除。
  马上重新启动系统,再对psw.dll这个文件进行删除即可。接着再对系统的进程、启动项、系统目录进行检查,没有发现可疑文件的踪迹,确定已经将恶意程序成功地清除了。
  虽然已经成功地清除恶意程序,但还没有完,我打算将这个盗号的黑手找出来。由于文件已经清除,所以想通过嗅探抓包分析是不可能了,不过通过十六进制工具对程序进行分析也可以。
  运行Ultra Edit载入getpsw.exe,由于一般的恶意程序都是将获取的信息发送到指定的信箱或网址,所以搜索“.net”这个关键词,很快就得到了盗号者的信箱,但是没有获得信箱的用户名和密码。同时也得到了另一个信箱“max@juntuan.net”,看样子很熟悉,好像是黑客组织“第八军团”的信箱。马上登录他们的网站,果然在“军团作品”中发现了一个名为“军团侦察员”的盗号工具。
  刘勇朋友轻易地将这款名为“军团侦察员”的盗号木马清除,可见他对如何清除类似木马有相当的经验。
  同时,我们通过该木马程序的特点,比如截取多种程序的密码;通过采用DNS查询MX邮件服务器技术,成功绕开SMTP服务器认证,实现密码文件特快直达目标邮箱;可以看到未来盗号工具的一些雏形。
  虽然该木马程序使用了线程插入技术,但是仍然可以看出该程序在隐蔽性方面的脆弱。另外阿良提醒大家,在获得盗号者的信箱后,我们可以通过法律手段来保护自己的权益,因为目前国家已经有明确的立法,将非法盗取别人虚拟财产作为偷盗罪的一种。

 
盗qq号木马如何清除

  自从QQ成为国内即时通讯软件的老大以后,各种针对它的黑客程序层出不穷,有盗取用户账号的、偷窥聊天记录的,今天我就教大家利用QQ自带的功能来规避QQ黑客程序的入侵。www.sq120.com推荐文章

加长号码防盗号
  当前网络上有很多可以盗取QQ密码的木马程序,但这些木马程序都有一些缺陷,就是不能记录号码位数超过9位的QQ账号,于是我们可以利用这个特点,通过"欺骗的"手段将自己的QQ账号"增加到"9位以上。我们可以这样做:在登录窗口的"QQ号码"选项中输入一串0,接着输入你的QQ号码,例如:0000012345。这样既不影响正常的QQ登录,又可以成功地规避木马程序对QQ号码的盗取。
在线修改密码防盗号

  除了在QQ登录的时候可以规避木马程序的盗取外,在登录后也可以做到这一点。事先准备两个常用的密码,当我们成功登录我们的网络账号后,将账号密码进行更改。点击"QQ菜单"中"设置"选项中的"安全设置"命令,接着在弹出的窗口中选择"密码安全"选项,然后重新设置QQ的登录密码。这种方法主要是由于木马程序只记录用户登录时输入的密码,对下线前修改的密码却不予记录。

使用汉字当密码防盗号
  以前为了保护好自己的密码,常常被要求将密码设置得很复杂,比如要采用数字与字母组合,字母大小写混合,并在密码中加入一些特殊字符,可是即使这样也很难躲过木马程序的监视,所以现在最好是使用汉字作为我们的密码。从QQ 2005版开始,腾讯就允许用户使用汉字作为自己的密码。首先打开一个文本编辑器,接着将密码输入到文本框中,然后通过复制粘贴命令将它输入到QQ登录窗口的密码选项中即可。

 
如何攻击博客

  博客是潮流时尚,很多MM都爱上了博客。有的MM在网上申请,有的自己在网上找博客程序,买空间买域名自己架设。自己架设固然好,但是不知道维护那就很危险的。本期我们来看看丽MM自己架设的博客的管理员账号是如何被盗的,我们的英雄又会如何救美呢?www.sq120.com推荐文章

  最近博客流行,男女老少都玩起博客来。丽MM也不例外,作为她的男朋友,我肯定是她博客的忠实FANS。这不,又要去她的博客灌水。一进入博客,杀毒软件便提示有病毒。再一细看,博客日记都被修改了,好家伙,我心爱的丽MM的博客居然这样被糟蹋!不过,我的机会来了。让丽MM脱离"苦海",不是让我的形象一下子就高大起来了吗。这时丽MM也发来信息说博客被入侵了。我马上跑到丽MM家对她的博客进行抢救。

  跑到丽MM家,一看博客,都在骂丽MM害人。丽MM急了,命令我在1小时之内搞定,否则让我三天不见她。这不让我难过吗?于是马上将数据备份了,检查博客的漏洞,发现博客公告处出现有跳转字样"iframe",并且多篇博客被修改,使用的都是管理员账号。
          非常容易就找到数据库的地址,并进行下载
  "你的管理账号被盗了,你原来没修改数据库默认地址。""什么?数据库?怎么修改?我就在网上下载了博客程序,然后用FTP传到服务器就开始使用了。"丽MM回答说。看来她真的没有修改数据库地址,我只好耐心的给他解释说明了。
我的博客你别动
  "你的博客是因为数据库默认地址没有修改,导致黑客下载到博客数据库,并通过暴力破解,得到了管理员密码。"我解释给丽MM听。 

打开MD5Crack,可以挂字典、多线程破解、自定义字符、存取进度。
  现在很多人只知道安装博客程序,却不知道怎么维护博客。所以很容易被黑客所利用。因为现在博客程序很容易下载,黑客只要在网上下个同样的程序就知道默认数据库地址了。
  这个时候丽MM还会认为数据库的密码是通过MD5加了密的,入侵者得到了数据库同样得不到我们的管理密码,其实黑客只要通过一些MD5值暴力破解软件就能得到我们的管理密码,类似软件非常多,如MD5CrackSp、MD5Crack等。说着我就给丽MM演示起来(见下图)。
为MM支招
  下面我们来谈谈怎么保护自己的博客,防范于未然。首先我们要修改博客默认数据库地址,通常在程序的说明里,都说了修改方法,不同的程序修改方法也略有不同。值得注意的是本文只适用与ASP与Access数据库的程序。
  在修改时,首先找到数据库所在目录,然后将数据库名与目录地址一并修改,默认数据库一般在data目录下,接着找到程序的配置文件,不同程序的配置文件名也有不同,可以在程序说明文件里查看。 

要破解管理员密码时,只要在数据库中将管理员密码的MD5加密值复制到软件的“破解单个密文”一栏
  如丽MM使用的LBS博客程序的配置文件为"_common. asp",用记事本之类的程序找到数据库默认地址修改成我们所改的,然后即可上传到服务器使用,修改的地址要设置得复杂些,不能让入侵者能轻易猜到。
  切记密码要多种字符配合使用,因为密码复杂破解的时间与难度也增加了,就算入侵者下载了数据库文件,他们也没那耐心破解密码。 

将MD5值复制好后,入侵者会根据搜集的资料来选取数字或者是字母为破解字符。设置好后,点击"开始"软件就开始破解了。其次,多多留意博客程序官方网站,看是否有安全补丁与安全漏洞,因为网站程序漏洞也多种多样,只要我们及时更新程序才能确保安全。