La activación encubierta del troyano Glacier
Por supuesto, no espera que los usuarios hagan clic en el icono del troyano para ejecutar el servidor cada vez que inician. La segunda cosa más importante que debe hacer el troyano es cómo cargar automáticamente el servidor cada vez que se inicia. el usuario lo inicia (lo primero. Lo importante es cómo hacer que la otra parte sea un caballo de Troya, oye, esta parte se mencionará más adelante)
Windows admite una variedad de métodos para cargar aplicaciones automáticamente cuando el Los inicios del sistema (es casi como un programa especial para caballos de Troya) Personalizado), el grupo de inicio, win.ini, system.ini, el registro, etc., son buenos lugares para que los troyanos se escondan. Glacier utiliza varios métodos para asegurarse de que no puedas escapar de él. En primer lugar, Glacier agregará \kernl32.exe (que es el directorio del sistema) a las claves HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y RUNSERVICE en el registro. En segundo lugar, si elimina esta clave, se sentirá orgulloso. Mientras tomaba té, Binghe apareció fantasmal nuevamente... ¿Qué pasó? Resulta que el servidor de Binghe generará un archivo llamado sysexplr en c:\windows (esto cambiará con su directorio de instalación de Windows) .exe (demasiado similar a Super). Jieba, ¡qué venenoso, Glaciar!), este archivo está asociado con el archivo de texto, siempre que abra el texto (¿cuántas veces no abre el texto en un día?), el archivo sysexplr.exe regenerará krnel32. exe, y entonces seguirás controlado por Glacier. (Así es como Glacier ha ocupado los preciosos recursos del sistema de los trabajadores pobres durante mucho tiempo, 555555) Han surgido métodos más nuevos y encubiertos, es decir, tecnología de biblioteca de enlaces dinámicos y controladores (¿Glacier 3.0 adoptará este método?).
La tecnología de controlador y biblioteca de enlaces dinámicos es diferente de los troyanos comunes. Básicamente, elimina el modo troyano original: el puerto de escucha y adopta el método de reemplazar las funciones del sistema (reescribir el controlador o la biblioteca de enlaces dinámicos). El resultado de esto es: no se agregan nuevos archivos al sistema (por lo que no se puede eliminar mediante el escaneo), no hay necesidad de abrir nuevos puertos (por lo que no se puede eliminar mediante el monitoreo de puertos) y no hay nuevos procesos. (por lo tanto, el proceso de uso no se puede encontrar comprobando y su ejecución no se puede finalizar al finalizar el proceso). Durante el funcionamiento normal, el troyano casi no presenta síntomas, pero una vez que el extremo de control del troyano envía un mensaje específico al extremo controlado, el programa oculto comienza a funcionar inmediatamente...
De hecho, he visto varios Troyanos de este tipo, entre los que se encuentra un troyano que crea secretos ocultos reescribiendo archivos vxd... (Habrá una nueva ola en el mundo) Glacier Trap.
La trampa de glaciar tiene dos funciones:
1. Eliminar automáticamente todas las versiones de "Glacier"
2. Disfrazarse de "Glacier" y ser acusado de atacar a los intrusos. Engañar y registrar todas las operaciones del intruso. El escaneo de puertos es la mejor manera de verificar si hay troyanos en la máquina remota. El principio del escaneo de puertos es muy simple. Si tiene éxito, el escáner intenta conectarse. que el puerto está abierto. Si falla o si se excede un cierto período de tiempo (timeout), el puerto se cierra. (En cuanto al escaneo de puertos, Oliver tiene un artículo sobre "escaneo de semiconexión", que es muy interesante. El principio de ese tipo de escaneo es diferente, pero está más allá del alcance de este artículo)
Pero vale la pena explicar que, para los troyanos de controlador/enlace dinámico, el escaneo de puertos no funciona.
Encontrar archivos específicos de troyanos también es un método común (lo sé, el archivo característico de Binghe es G_Server.exe, ¿verdad? ¡Idiota! ¿Cómo puede ser tan simple? Binghe es astuto y astuto...) Uno de los archivos característicos de Binghe es kernl32 .exe (joder, está disfrazado de kernel de Windows), y el otro está más escondido, es sysexlpr.exe (que carajos, ¿no es un súper luchador?) ¡Cierto! La razón por la que Binghe le dio esos nombres a estos dos archivos es para disfrazarse mejor. Mientras estos dos archivos se eliminen, Binghe ya no funcionará. Lo mismo ocurre con otros troyanos (tonterías, el programa del lado del servidor desapareció, ¿qué más puedes hacer?)
Si simplemente eliminas sysexlpr.exe sin realizar ningún trabajo de limpieza, puedes encontrarte con algunos problemas. Es solo que su archivo de texto no se puede abrir porque, como se mencionó anteriormente, sysexplr.exe está asociado con el archivo de texto. También debe asociar el archivo de texto con el bloc de notas. Hay tres métodos:
a. Registro (no hablaré de eso. Si tienes la capacidad de cambiarlo tú mismo, no me pidas que te lo diga, de lo contrario es mejor no meterte con eso)
b. Computadora>-Ver-Opciones de carpeta-Editar en tipo de archivo
c. Mantenga presionada la tecla MAYÚS mientras hace clic derecho en cualquier archivo TXT, seleccione Abrir con, seleccione Abrir siempre con este programa...gt; ;, Luego busque el bloc de notas, haga clic en él y estará bien. (Este es el más simple y recomendado)
Como recordatorio, debes tener cuidado con cosas astutas como los troyanos que se asocian con archivos txt. No es gran cosa si el txt no se puede abrir. Está asociado con el archivo exe y lo borraste precipitadamente... ¡Estás en problemas! ¡Ni siquiera regedit se puede ejecutar! La razón por la que puse el software antivirus al final es porque en realidad no es de mucha utilidad, incluido algún software que dice estar diseñado para matar troyanos. Sin embargo, todavía es un poco difícil lidiar con troyanos y troyanos obsoletos. instalado por novatos (sin configuración del servidor). Puede monitorear todos los programas que llaman a Winsock y puede eliminar procesos dinámicamente. Es una buena herramienta para la defensa personal (aunque dudo de la legendaria afirmación de que "este software puede detectar y eliminar). Troyanos en los próximos diez años", jeje, dos, no sé qué pasará el próximo año. ¿Quién sabe hasta qué punto “evolucionarán” los troyanos en diez años? Ni siquiera puedo imaginar cómo será el sistema operativo. en diez años.)
Además, para el troyano Controlador/Biblioteca de vínculos dinámicos, hay una forma de intentarlo: utilice el Comprobador de archivos del sistema de Windows y ejecute el Comprobador de archivos del sistema a través del Menú Inicio-Programas-Accesorios. -Herramientas del sistema-Información del sistema-Herramientas (tan detalladas que no ¿No puedes encontrarlas? ¡Qué, no puedes encontrarlas! ¡Vomita sangre! Busque un disco de instalación 98 y vuelva a instalarlo. Utilice el "Comprobador de archivos del sistema". para verificar la integridad de los archivos del sistema operativo. Si estos archivos están dañados, el verificador puede Para restaurarlos, el verificador también puede extraer archivos comprimidos (como controladores) del disco de instalación. Si su controlador o biblioteca de enlaces dinámicos se cambió sin actualizarlos, puede ser un caballo de Troya (o estar dañado). Extraer los archivos modificados puede garantizar la seguridad y estabilidad de su sistema. (Tenga en cuenta que esta operación debe ser completada por un operador que esté familiarizado con el sistema, porque la instalación de ciertos programas puede actualizar automáticamente los controladores o las bibliotecas de vínculos dinámicos. En este caso, la restauración de archivos dañados puede provocar que el sistema falle o que el programa se vuelva ¡no disponible!)
Capítulo Astuto (Siempre y cuando seas un poco negligente...)
Mientras seas un poco negligente, alguien puede instalar un caballo de Troya común. Las tácticas para instalar troyanos son útiles para mantenerse a salvo.
Los principales trucos utilizados para "ayudar" a las personas a instalar troyanos en Internet son los siguientes
a. Engatusamiento suave y engaño duro
Existen muchos métodos y no tienen nada que ver. tecnología, y algunos son simplemente gambas falsas, algunos fingen ser PLMM, algunos tienen una actitud humilde, algunos... De todos modos, el propósito es el mismo, que es permitirle ejecutar un servidor troyano.
b. Método de ensamblaje y síntesis
El llamado 221 (Two To One) vincula un programa legal a un troyano, y las funciones del programa legal no se ven afectadas. Cuando ejecuta un programa legítimo, el troyano se carga automáticamente. Al mismo tiempo, debido a que el código del programa ha cambiado después de vincularlo, es difícil para el software antivirus escanearlo según la firma para encontrarlo.
c.Método de cambio de nombre
Este método apareció relativamente tarde y es fácil dejarse engañar. El método específico es disfrazar el archivo ejecutable como una imagen o texto: cambie el ícono en el programa al ícono de imagen predeterminado de Windows y luego cambie el nombre del archivo a *.jpg *.exe Dado que la configuración predeterminada de Win98 es. no mostrar Si no conoce el nombre de la extensión del archivo, el archivo se mostrará como *.jpg. Si no presta atención, obtendrá un caballo de Troya al hacer clic en este icono (será aún mejor si lo hace). insertar una imagen en el programa)
d. El método de gancho voluntario
El propietario del troyano coloca código malicioso en la página web para atraer a los usuarios a hacer clic. hacer clic es evidente: abre la puerta y roba al ladrón; consejo: no hagas clic en los enlaces de la página web a menos que la entiendas, confíes en ella y estés dispuesto a morir por ella...
Algunas notas (algunos clichés)
a. No descargue software de sitios web aleatorios, sino de sitios más famosos y de buena reputación. Estos sitios suelen tener personal antivirus dedicado;
b. No confíes demasiado en los demás y no ejecutes el software proporcionado por otros casualmente;
(Especialmente si conoces a alguien que conoces, no creas que estás seguro porque conoces a alguien, porque solo gente que conoces te instalará troyanos, jaja, siembra discordia... ....)
c. Verifique con frecuencia los archivos de su sistema, el registro, los puertos, etc., y con frecuencia visite sitios de seguridad para ver los últimos anuncios de troyanos;
d. Cambie la configuración predeterminada de Windows para ocultar los sufijos de los archivos (solo puedo ver los archivos). Solo con el nombre del sufijo puedes hacer clic en él con confianza) No hace falta decir que todos conocen la última versión de Glacier 2.2. ¡También debes estar muy familiarizado con sus poderosas funciones! Su interfaz de operación es clara y concisa, ¡y sus funciones de control! poderoso Algunos Si la función se usa para la administración de control remoto, entonces será un software ideal. Sin embargo, si otros lo usan como un troyano pirata, entonces su daño será peor que BO2000, NETSPY. posicionado como El troyano hacker no es demasiado, porque su programa del lado del servidor tiene funciones como ocultar, protegerse contra copia automática y robar contraseñas y cuentas. Esto no es lo que debería tener un software normal. a cualquier archivo en el nombre del cliente, después de que el programa del lado del servidor se conecte, enviará automáticamente la IP actual de la máquina al cliente por CORREO ELECTRÓNICO Sin mencionar copiar, eliminar archivos, cerrar procesos, forzar el apagado. seguimiento del teclado, bloqueo del mouse, etc.
Así que estoy aquí para presentarte cómo desbloquear el servidor Glacier. ¡De ahora en adelante, ya no tendrás que preocuparte de que otros controlen tu máquina!
Entonces, ¿cómo prevenir y eliminar los glaciares?
En primer lugar, no ejecute programas de software de origen desconocido. Esta es una verdad eterna. No importa cuán inteligente o poderoso sea cualquier programa pirata, necesita explotar las vulnerabilidades del sistema para lograr el propósito de la intrusión. Si no hay un servidor Al ejecutar el programa troyano en el cliente, los piratas informáticos que controlan el programa cliente no pueden tener éxito. En segundo lugar, debe desarrollar buenos hábitos de uso de la computadora, como no guardar la contraseña para el acceso telefónico a Internet, etc. !
Si comprende el mecanismo de ataque de Glacier Hacking Software, no hay nada que temer.
Una vez infectado con Glacier, puede utilizar los siguientes métodos para eliminarlo de su computadora:
1. Verifique el grupo de inicio del registro, específicamente: start --gt; run --gt, Valor: HKEY_LOCAL_MACHINE; \Software\Microsoft\Windows\CurrentVersion\Run y HKEY_LOCAL_MACHINE\Sogtware\Microsoft\Windows\CurrentVersion\RunServer Busque los elementos de ejecución de KERNEL32.EXE y elimine los dos valores clave si los hay. Glacier puede configurar libremente los parámetros del programa del servidor, como el nombre del archivo del servidor, el número de puerto, la contraseña, etc. Por lo tanto, el programa del lado del servidor puede tener cualquier nombre, es decir, no se limita a KERNEL32.EXE, así que aquí necesita tener ciertos conocimientos de Windows para encontrar con precisión si hay un archivo de inicio sospechoso, si no está seguro, puede compararlo con otra computadora.
2. Puede encontrar los archivos sospechosos según los nombres de archivo anteriores. Elimine .KERNEL32.EXE y sysexplr.exe (o cámbielos a nuevos nombres). De forma predeterminada, se encuentran en el directorio \Windows\sytem. almacenarse en el directorio \Windows o \Temp dependiendo de la configuración.
3 Las medidas de autoprotección de "Glacier" son muy fuertes. Puede utilizar los elementos de asociación de archivos en el registro para copiarse a sí mismo y. Vuelva a instalarlo sin su conocimiento. Después de completar el trabajo anterior, aunque "Glacier" no parece existir, pero cuando hace clic para abrir el archivo correspondiente (como *.TXT, *EXE), "Glacier" sí. resucitado! Por lo tanto, para eliminar la causa raíz, según el paso 1.2 anterior, también debemos usar el nombre del archivo sospechoso como pista para escanear exhaustivamente el registro y eliminar los valores clave sospechosos uno por uno.
4. Las razones anteriores para la operación Es necesario realizar una cirugía en el corazón del sistema: el registro, lo cual es riesgoso. De hecho, la forma más sencilla y efectiva es formatear el disco duro y reinstalar el. Sistema Windows. ¡Por supuesto, tienes que dedicar una cierta cantidad de tiempo a esto!
El siguiente es un nuevo artículo que complementa el método anterior:
1. Después de matar a Binghe de acuerdo con el método anterior, también debes verificar HKEY_CLASS_ROOT\txtfile\shell\open\. comando en el registro Corrija el valor de clave C:\WINDOWS\NOTEPAD.EXE1 y cámbielo a: C:\WINDOWS\SYSTEM\EXE1; de lo contrario, encontrará que no puede abrir el archivo de texto. verá consejos sobre 'Programa no encontrado'.
En segundo lugar, el método para eliminar troyanos presentado anteriormente es solo para la configuración del cliente. Cuando el cliente cambia el nombre del archivo al configurar el programa del servidor, la mayoría de los internautas pueden hacerlo. No podremos encontrarlo. Aquí estamos. La solución específica es verificar primero el valor clave de HKEY_CLASS_TOOT\txtfile\shell\poen\command en el registro, como C:\WINDOWS\SYSTEM\CY.EXE1 (esto puede (también pueden ser otros nombres de archivos y rutas), escriba CY.EXE; verifique los valores clave de HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run y HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunServer en el registro. Si hay CY.EXE, básicamente se considera que es Para Glacier Trojan, es mejor verificar el recuento de bytes del archivo (la versión 2.0 de Glacier Trojan es 495, 733 bytes) y eliminar los dos valores clave anteriores. desde C:\WINDOWS\SYSTEM\CY.EXE (
No se puede borrar bajo WIN98). Cabe destacar que antes de modificar el registro debes realizar una copia de seguridad debes prestar mucha atención a los archivos que sean iguales a CY.EXE bytes para evitar que el cliente te dé el error antes; Se configuraron varios conjuntos de troyanos Glacier.