侦测、移除恶意程序传授四秘笈
企业界及个人如何快速发现及移除恶意程序?公布「秘籍四招」,供社会各界自行操练并排除恶意程序的入侵。
秘籍一:关闭所有已知对外联机程序,在确定网络没有正常对外联机情况下,开启cmd.exe,输入利用「netstat -an -p
tcp」指令清查异常对外通讯的应用程序,检查是否有对外TCP 53及80 port联机,观察是否具恶意程序特质,并注意VNC、Terminal Service 等远程遥控5800、5000 and 3389 port的不明外来遥控联机。若使用者本身有安装远程遥控程序如VNC或Terminal Server,建议更改预设联机port,并设定存取联机之IP,以防黑客使用该远程遥控程序。
秘籍二:检查登录编辑器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\Current Version\Run等自动启动路径下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及 「hiderun.exe」等字样之机码,若存在的话将该机码删除。
秘籍三:检核微软系统目录中(路径大多为C:\WINNT\SYSTEM32\)是否存在下列异常档案,并删除之:
(一)恶意程序-peep.exe:通常会存放在c:\winnt\system32目录之下,执行后会自动产生explorer.exe于c: \winnt\system32目录(正常的explorer.exe是存放在c:\winnt之目录之下),并于网络联机后自动联机至跳板主机之 80port,一般80port为网页主机之用,peep.exe木马程序则用做远程遥控并可传递受感染之计算机内任何档案数据。
(二)恶意程序-service.exe:正常之系统文件为services.exe,存放于c:\winnt\system32目录之下,若计算机有 service.exe或非位于c:\winnt\system32目录下之services.exe档案则可能受到感染。Service.exe执行后 会产生MFC42G.DLL及WinCom32.exe等两个档案,并于网络联机后以TCP方式联机至跳版主机53port,一般53port为DNS之 用,且是以UDP方式联机。
(三)恶意程序-iexplore.exe:iexplore.exe被置于c:\windows\system32目录中(正常位于c: \program Files\Internet Explorer),该程序改编自知名偷密码程序nasswordspy、Backdoor.PowerSpider及 PWSteal.Netsnake,为知名收集密码信息程序的变种,会搜集受害者所输入的账号密码后以电子邮件方式传送至中国大陆的某个邮件主机。
(四)、其它异常程序:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、 gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知文件名之恶意程序,另需人工检核是否有异常程序,如「*.bat」 及「*.reg」通常为黑客入侵后安装恶意程序使用之档案,及pslist.exe、pskill.exe、pulist.exe等p开头之档案则为黑客 工具档案,以上档案通常存放于c:\winnt\system32目录之下。
秘籍四:重新开机并注意计算机对外通讯情形。如在计算机没有作任何运作时,从计算机工作管理员的图表上,发现持续有人大量运作中。
wwp13欢迎光临我的图书馆 !喜欢就请点收
|