top123763
資深會員
積分 3565
發文 296
註冊 2006-5-5
狀態 離線
|
#1 〔教學〕偵測、移除惡意程式 傳授四祕笈
偵測、移除惡意程式 傳授四祕笈
秘笈一:關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port的不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
秘笈二:檢查登錄編輯器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。
秘笈三:檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案,並刪除之:(一)惡意程式-peep.exe:通常會存放在c:\winnt\system32目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常的explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
(二)惡意程式-service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機53port,一般53port為DNS之用,且是以UDP方式連線。
(三)惡意程式-iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式nasswordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
秘笈四:重新開機並注意電腦對外通訊情形。如在電腦沒有作任何運作時,從電腦工作管理員的圖表上,發現持續有人大量運作中。
|
|
2007-4-21 01:32 PM |
|
server4017
基本會員
積分 37
發文 5
註冊 2006-1-7
狀態 離線
|
|
2007-4-29 02:00 AM |
|
cjch
一般會員
積分 251
發文 34
註冊 2006-8-5
狀態 離線
|
|
2007-4-29 01:48 PM |
|
小乖乖
一般會員
積分 374
發文 58
註冊 2006-10-10
狀態 離線
|
#4
真的又多學了一點
惡意程式真的很受不了
班上電腦最近中招很多台
趕快來檢查一下
感謝分享喔
|
|
2007-5-2 11:10 AM |
|
janjyu
基本會員
積分 167
發文 39
註冊 2005-9-26 來自 台中
狀態 離線
|
#5
真的又多學了一點,
惡意程式真的很受不了•
感謝,受用不盡....
|
|
2007-5-3 06:26 PM |
|
stop
一般會員
積分 340
發文 45
註冊 2006-1-3
狀態 離線
|
#6
真是實用的文章,惡意程式真的很可恨,感謝大大的教學,福氣啦
|
|
2007-5-13 08:43 PM |
|
jacky784533
中級會員
積分 1474
發文 185
註冊 2005-9-7 來自 Taipei
狀態 離線
|
#7
謝謝大大分享此四祕笈~很實用哦!
thks!
|
|
2007-5-14 09:46 AM |
|
CKC0880
基本會員
積分 130
發文 36
註冊 2007-5-5
狀態 離線
|
|
2007-5-16 08:06 AM |
|
skyhell
VIP會員
積分 4709
發文 37
註冊 2007-5-6
狀態 離線
|
#9
每天用檔案日期排序,注意[windows] 以及[windows\system]資料夾內是否有當天"新"產生的檔案, 如果當天沒安裝新軟體,卻多出一些.exe .dll,就得當心
|
|
2007-6-1 12:53 AM |
|
bakery1
一般會員
積分 563
發文 144
註冊 2007-5-11
狀態 離線
|
#10
謝謝大大的分享!受教不盡,學而無窮!真的有幫助!
可以知道如何查!何處發現!讓人思考如何方法去預防!
|
|
2007-6-1 01:26 AM |
|
oicoic
基本會員
積分 153
發文 20
註冊 2005-9-7
狀態 離線
|
#11
感謝提供這麼好的祕笈,趕快收集起來,謝謝分享。
|
|
2007-6-4 10:20 PM |
|
jonny001
中級會員
積分 778
發文 142
註冊 2007-8-13
狀態 離線
|
#12
Quote: | Originally posted by top123763 at 2007-4-21 01:32 PM:
偵測、移除惡意程式 傳授四祕笈
秘笈一:關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及 ... |
|
感激您呀!受用不盡!
|
|
2007-8-23 07:07 PM |
|
eer
一般會員
積分 442
發文 52
註冊 2005-9-26
狀態 離線
|
|
2007-9-17 05:32 AM |
|
sun678
高級會員
積分 9889
發文 1434
註冊 2005-9-6
狀態 離線
|
#14
謝謝用心的分享移除惡意程式可以省下很多時間.
|
|
2007-9-17 11:01 PM |
|
jd8700
一般會員
積分 336
發文 100
註冊 2005-9-8
狀態 離線
|
#15
感謝提供這麼好的方法謝謝用心的分享移除惡意程式
|
|
2007-9-20 08:35 PM |
|
LIN69514
基本會員
積分 19
發文 6
註冊 2006-11-6
狀態 離線
|
#16 非常感謝
這一篇 謝謝分享此四祕笈~很實用
|
|
2007-10-27 01:16 AM |
|
ful3rmp500
一般會員
積分 494
發文 112
註冊 2007-1-28
狀態 離線
|
#17
學海無涯,
又多學了4招,
謝謝大大的教導。
|
|
2007-12-14 05:39 PM |
|
ANDYLEE
進階會員
積分 2394
發文 270
註冊 2005-9-21 來自 taiwan
狀態 離線
|
#18
上大陸的正式網站會如百度等,抓歌時會轉到一些隱藏的惡意網站,並被植入 Internet Explorer 程式,一直都找不到解決方法,感謝分享,這下就可以把它幹掉了!謝謝!!
|
|
2007-12-16 08:45 AM |
|
bentech
進階會員
積分 1529
發文 510
註冊 2006-9-22
狀態 離線
|
#19 真是感謝了。
趕快來看看,是否有需要篩除的部份,真是成長啊,
知識的無限廣大。
|
|
2007-12-19 05:43 AM |
|
cgeronimo
一般會員
積分 203
發文 78
註冊 2007-10-13
狀態 離線
|
|
2007-12-20 06:00 AM |
|