职称计算机手机看课
您的位置:职业培训教育网  > 职称计算机 > 复习指导 > 复习资料 > 正文

流萤木马是什么

2008-02-18 17:42  来源: 纠错 打印 收藏   

  流萤木马是一款全新的国产反弹型木马程序,它的特点就是服务端小巧,仅有36KB的大小。它的服务端程序之所以小巧,完全是因为它的服务端程序仅仅是一个“下载者”程序。当这个“下载者”程序安装到系统以后,才会将真正的服务端程序安装到系统之中,这也就是中招后系统出现假死的主要原因。另外该木马可以调用包括IE浏览器在内的众多系统进程,并且服务端程序运行十分稳定,客户端程序可以同时对几个服务端进行操作。

  隐私大白天下

  今天,万大夫接待了这样一位病人。来者自称姓马,他称早上一个好友打来电话,声称在一个论坛发现了自己和我女朋友的照片,这些照片并不是自己上传上去的。听病人讲到这里,万大夫心里对情况已经有了大致的了解。

  接着万大夫一边听着病人的描述,一边进行着详细的记录。病人告诉万大夫说:元旦前一天上午有一段时间,系统好像假死一样不能操作,不过硬盘却一直在狂转,好像在下载什么东西。

  接着出现一个IE浏览器的连接网络的提示框,重新启动后不久又出现其他系统进程的连接窗口。自己怕麻烦就同意通过了,结果自己的照片就被偷了。通过病人的叙述,万大夫基本上可以肯定这款木马就是现在网络中活动异常猖獗的“流萤”木马。

  萤的隐身术

  当万大夫确诊病情以后,就开始准备进行治疗了。首先万大夫从系统的启动项着手,准备从中找到木马程序的启动项。万大夫首先选择查看系统启动项的佼佼者AutoRuns,点击AutoRuns的“用户”选项选择用户,接着就会在主界面中将启动项和进程全部显示出来。点击操作界面的“全部”标签,这样系统的所有启动项就一目了然了。

  经过认真检查,万大夫很快就在系统服务启动项中发现一个可疑的启动项。它之所以引起大夫的注意,并不是它的启动名称,而是因为它在列表中的“说明”和“发行商”两项都没有任何的标注,而正规的软件程序在这两项中都会有标注。可是该文件也没有进行伪装,这不像是黑客惯用的伎俩啊?

  接着万大夫再来看看系统中有没有可疑的进程,他使用的是Process Explorer.该软件可以让用户了解看不到的那些在后台执行的程序进程,通过它能显示目前已经载入的程序模块、程序所调用的 DLL进程等。Process Explorer最大的特色就是可以结束任何进程,甚至包括系统的关键进程都可以结束。

  首先我们应该了解,进程分为两种。一种是系统进程,即System进程树下的所有进程;一种是普通进程,即在Explorer进程树下的所有进程。对于那些拥有独立进程的木马程序,使用Process Explorer很容易就能发现的。经过认真查看,在System进程树下发现了一个名为FireFly.exe的可疑进程,正好这个可疑进程和那个可疑的启动项是联系到一起的。  现在大夫来进行木马程序的清除工作。首先在Process Explorer的System进程树下,找到FireFly.exe这个可疑进程,然后点击右键菜单中的“终止进程”按钮将该进程结束。再切换到AutoRuns窗口,在系统服务中找到该木马的启动项Remote Control,同样点击鼠标右键中的“删除”命令即可删除该启动项。

  由于AutoRuns的删除是直接对注册表进行操作的,没有办法自动恢复,所以用户不要看到什么使人生疑的东西就删除。如果仅仅是怀疑的话,用的时候把启动项前面的钩去掉就可以了。最后来到磁盘的C:Program Files irefly-remote文件夹下,将整个文件夹删除即可。

  由于流萤是一款木马程序,所以它主要是通过网页木马、文件捆绑等主要方式进行传播的。但是人们往往忽略这些环节而“大意失荆州”,以至于在个人信息受到威胁时后悔莫及。从整个木马清除过程来看,最简单的可疑程序检测方法就是参看这些文件的“说明”和“发行商”有没有具体的内容。如果发现某些文件没有这些内容的介绍,那么首先就需要对它们进行重点检查。

  除此之外我们知道,现在很多具有远程控制功能的软件,自身都带有一个“/u”的卸载参数,运行后服务端就可以完全卸载。以后遇到可疑文件就可以用这个参数来试着卸载,流萤的服务端也可以采用这种方式进行卸载。

热点关注:流萤 木马 什么

  上一篇:  局域网不能上网的原因

  下一篇:  如何防止杀毒软件误删


2016年职称计算机考试网上辅导
课程名称
老师/课时数/免费试听
价格
购买课程
中文Windows WIN7操作系统
100元
中文Windows XP操作系统
100元
Word 2003中文字处理
100元
Excel 2003中文电子表格
100元
PowerPoint 2003中文演示文稿
100元
Word 2007中文字处理
100元
Excel 2007中文电子表格
100元
PowerPoint 2007中文演示文稿
100元
金山演示2005
100元
Internet应用(XP)
100元
Internet应用(Win7)
100元
Photoshop 6.0图像处理
100元
Flash MX 2004动画制作
100元
Access 2000数据库管理系统
100元
WPS Office办公组合中文字处理
100元
金山文字2005
100元
金山表格2005
100元
FrontPage 2000网页制作
100元
Dreamweaver MX 2004网页制作
100元
AutoCAD2004制图软件
100元
Authorware 7.0多媒体制作
100元
Visual Foxpro 5.0数据库管理系统
100元
Photoshop CS4图像处理
100元
Project 2000项目管理
100元
用友财务(U8)软件
100元
用友财务(T3)会计信息化软件
100元
Frontpage 2003网页制作
100元
相关资讯:
网站导航:
职业培训教育网                    更多>>
 经 济 师 指南 动态 查分 试题 复习  职 称 英 语 指南 动态 查分 试题 复习
 职称计算机 指南 动态 查分 试题 复习  招 标 师 指南 动态 查分 试题 复习
 公 务 员 指南 动态 查分 试题 复习  人力资源管理 指南 动态 查分 试题 复习
 教师资格 指南 动态 查分 试题 复习  农村信用社 指南 动态 查分 试题 复习
 公共营养师 指南 动态 查分 试题 复习  心理咨询师 指南 动态 查分 试题 复习
一级消防师 指南 动态 查分 试题 复习 二级消防师 指南 动态 查分 试题 复习

·考试简介 ·报名条件 ·考试科目 ·免考条件
·考试时间 ·考试证书 ·成绩查询 ·指定教材
·合格标准 ·证书期限 ·职称英语

  • 视频课程
按教材章节体系全面讲解,
帮助考生掌握知识点、夯实基础。
视频课程

  

真实环境模拟;
紧扣最新大纲;
免费试用,终身升级;
题库及时更新;
版权声明
  1、凡本网注明 “来源:职业培训教育网”的所有作品,版权均属职业培训教育网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明“来源:职业培训教育网”。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
编辑信箱:chinatat@chinatat.com
电话:010-82333888