| 词条 | 蓝色火焰木马 |
| 释义 | § 一)知: 《蓝色火焰》是一款国产木马,虽然没有《冰河》、《黑洞2001》等木马名气大,但是我们同样很难发现或清除它。《蓝色火焰》还有个特别出众的地方就是它没有客户端程序,它的服务端程序是运行在Windows平台上的,本质上可以说是一个微型的Telent、FTP和Web服务器程序,只要外部使用Telent、FTP和浏览器就能控制它了。正所谓“无招胜有招 ”,由于《蓝色火焰》不需要客户端程序,所以“网络流氓”们能很轻易地利用机器里几乎所有和网络相关的程序来控制它,如Telnet、IE、Netscape、Opera、Flashget、Cuteftp等,甚至可以跨平台来操控服务端,如在Unix、Linux系统下…… § 二)查: 如果不小心运行了《蓝色火焰》服务端程序“bf_server.exe”,会在C:\WINDOWS\SYSTEM文件夹下生成三个木马文件“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”,前两个文件无论大小、图标都和原木马文件一模一样;最后一个文件bfhook.dll为DLL文件,大小为18K。 《蓝色火焰》一般是利用19191端口,但是最新的“微型版”(由于体积太大容易被细心的用户发现,所以有了这个体积只有10K的“微型版”),则使用9191端口连接。所以,也可以通过这个方法来发现《蓝色火焰》,在MSDOS窗口下(在Win2000下称作命令提示符下)运行“netstat -a”命令即可,如果发现有19191或9191端口开放,就表示中了《蓝色火焰》木马! § 三)杀: 清除方法: 1. 清除注册表中的可疑键值 在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,进入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找到"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe",删除串值Network Services及其键值。 再到这里:HKEY_CLASSES_ROOTtxtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,将C:\WINDOWS\SYSTEM\sysexpl.exe %1中的“sysexpl.exe %1”更改为“NOTEPAD.exe %1”。 2. 删除文件 到C:\WINDOWS\SYSTEM下,将tasksvc.exe、sysexpl.exe、bfhook.dll这三个文件彻底删除。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。