網際論壇 - Powered by Discuz! Board

標題: 〔教學〕偵測、移除惡意程式傳授四祕笈 [打印本頁]

作者: top123763 時間: 2007-4-21 01:32 PM 標題: 〔教學〕偵測、移除惡意程式傳授四祕笈

偵測、移除惡意程式傳授四祕笈

秘笈一：關閉所有已知對外連線程式，在確定網路沒有正常對外連線情況下，開啟cmd.exe，輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式，檢查是否有對外TCP 53及80 port連線，觀察是否具惡意程式特質，並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port的不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server，建議更改預設連線port，並設定存取連線之IP，以防駭客使用該遠端遙控程式。

　秘笈二：檢查登錄編輯器（Registry）：清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼，若存在的話將該機碼刪除。

　秘笈三：檢核微軟系統目錄中（路徑大多為C:\WINNT\SYSTEM32\）是否存在下列異常檔案，並刪除之：（一）惡意程式-peep.exe：通常會存放在c:\winnt\system32目錄之下，執行後會自動產生explorer.exe於c:\winnt\system32目錄（正常的explorer.exe是存放在c:\winnt之目錄之下），並於網路連線後自動連線至跳板主機之80port，一般80port為網頁主機之用，peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。

　（二）惡意程式-service.exe：正常之系統檔為services.exe，存放於c:\winnt\system32目錄之下，若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案，並於網路連線後以TCP方式連線至跳版主機53port，一般53port為DNS之用，且是以UDP方式連線。

　（三）惡意程式-iexplore.exe：iexplore.exe被置於c:\windows\system32目錄中（正常位於c:\program Files\Internet Explorer），該程式改編自知名偷密碼程式nasswordspy、Backdoor.PowerSpider及PWSteal.Netsnake，為知名收集密碼資訊程式的變種，會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。

　（四）、其他異常程式：包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式，另需人工檢核是否有異常程式，如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案，及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案，以上檔案通常存放於c:\winnt\system32目錄之下。

　秘笈四：重新開機並注意電腦對外通訊情形。如在電腦沒有作任何運作時，從電腦工作管理員的圖表上，發現持續有人大量運作中。

作者: server4017 時間: 2007-4-29 02:00 AM
感謝，受用不盡....馬上來就試試吧！

作者: cjch 時間: 2007-4-29 01:48 PM
感謝，受用不盡....馬上來就試試吧

作者: 小乖乖 時間: 2007-5-2 11:10 AM
真的又多學了一點
惡意程式真的很受不了
班上電腦最近中招很多台
趕快來檢查一下
感謝分享喔

作者: janjyu 時間: 2007-5-3 06:26 PM
真的又多學了一點，
惡意程式真的很受不了‧
感謝，受用不盡....

作者: stop 時間: 2007-5-13 08:43 PM
真是實用的文章,惡意程式真的很可恨,感謝大大的教學,福氣啦

作者: jacky784533 時間: 2007-5-14 09:46 AM
謝謝大大分享此四祕笈~很實用哦!
thks!

作者: CKC0880 時間: 2007-5-16 08:06 AM
謝謝分享此四祕笈~很實用

作者: skyhell 時間: 2007-6-1 12:53 AM
每天用檔案日期排序,注意[windows] 以及[windows\system]資料夾內是否有當天"新"產生的檔案, 如果當天沒安裝新軟體,卻多出一些.exe .dll,就得當心

作者: bakery1 時間: 2007-6-1 01:26 AM
謝謝大大的分享!受教不盡,學而無窮!真的有幫助!
可以知道如何查!何處發現!讓人思考如何方法去預防!

作者: oicoic 時間: 2007-6-4 10:20 PM
感謝提供這麼好的祕笈,趕快收集起來,謝謝分享。

作者: jonny001 時間: 2007-8-23 07:07 PM

Quote:

Originally posted by top123763 at 2007-4-21 01:32 PM:
偵測、移除惡意程式傳授四祕笈

秘笈一：關閉所有已知對外連線程式，在確定網路沒有正常對外連線情況下，開啟cmd.exe，輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式，檢查是否有對外TCP 53及 ...

感激您呀！受用不盡！

作者: eer 時間: 2007-9-17 05:32 AM
感謝提供這麼好的方法,馬上來試試看!

作者: sun678 時間: 2007-9-17 11:01 PM
謝謝用心的分享移除惡意程式可以省下很多時間.

作者: jd8700 時間: 2007-9-20 08:35 PM
感謝提供這麼好的方法謝謝用心的分享移除惡意程式

作者: LIN69514 時間: 2007-10-27 01:16 AM 標題: 非常感謝

這一篇謝謝分享此四祕笈~很實用

作者: ful3rmp500 時間: 2007-12-14 05:39 PM
學海無涯，
又多學了4招，
謝謝大大的教導。

作者: ANDYLEE 時間: 2007-12-16 08:45 AM
上大陸的正式網站會如百度等，抓歌時會轉到一些隱藏的惡意網站，並被植入 Internet Explorer 程式，一直都找不到解決方法，感謝分享，這下就可以把它幹掉了！謝謝！！

作者: bentech 時間: 2007-12-19 05:43 AM 標題: 真是感謝了。

趕快來看看，是否有需要篩除的部份，真是成長啊，
知識的無限廣大。

作者: cgeronimo 時間: 2007-12-20 06:00 AM
密笈在手受用無窮阿多謝分享

作者: cityli 時間: 2007-12-28 05:57 PM
這個教學真棒無形中讓技術又增進不少
謝謝您

作者: kkmanlee 時間: 2008-2-29 04:00 PM
感謝大大堤供這麼好的資訊訊息

作者: acarya0516 時間: 2008-4-19 01:05 AM
謝謝分享此四祕笈~很實用

作者: chi7689 時間: 2008-6-9 02:38 AM
感謝，受用不盡....馬上來就試試吧！

作者: c2546321 時間: 2008-6-23 02:55 PM
複製存檔下來，好的觀念受用不盡，謝謝大大的分享！

歡迎光臨網際論壇 (http://centurys.net/)