你的电脑“被代理”了吗？

Bellain · 发表于技术探讨 2010-7-14 00:19:47


	本帖最后由 Bellain 于 2010-7-14 00:24 编辑最近，一种新型木马倍受瞩目，成为国家计算机病毒应急处理中心紧急公告中的“通缉犯”，它不盗你号，也不窜改你首页，可一样能让你的电脑“痛不欲生”，这是为什么呢？　　一般的木马的危害都是远程控制用户的电脑，伺机盗取用户的个人隐私数据，例如网游账号、qq账号等，可目前网络中出现了一种特殊的木马——代理木马，如果用户的电脑中了该木马，电脑就会被木马控制，用来发动DDos攻击。由于该木马影响恶劣，才被国家计算机病毒应急处理中心“通缉”！代理木马是如此作恶的　　代理木马主要通过网页挂马的方式传播，当它进入用户电脑后，就会释放.bat脚本文件，将自身拷贝到C:\Windows\system32目录，重命名为yxdwl.exe（图1），需要注意的是不同变种生成的文件名可能不同，接着创建同名的系统服务指向这个文件，这样操作后，木马就可以随系统自启动了。　　为了逃过杀毒软件的查杀，代理木马在程序入口处插入了花指令、通过寄存器EBX异或26的方法加密，经过变形和加密处理后的代理木马极难查杀。为了防止用户在任务管理器中发现端倪，它还将自身进程名改为svchost.exe，伪装成系统的进程。　　做完这些，代理木马就会远程连接rj55.3322.org，下载其他病毒以及一个带有IP地址的数据包，接着木马就会不停地向该IP地址发送ping包，展开拒绝服务攻击，IP地址不是固定的，木马作者随时可以改变攻击目标。代理木马解决方案　　系统比较慢，上网速度也慢下来，就有可能是中了代理木马，先调用杀毒软件，升级后在安全模式下全盘杀毒。如果杀毒软件无法清除该病毒，怎么办？　　不妨使用安全辅助工具来清除该病毒，启动安全辅助工具后，扫描系统看看病毒对系统都做了什么，揪出病毒在系统中的藏身之处，然后根据扫描的结果修复系统。修复系统后，再用杀毒软件查杀残余的病毒文件，可以多试几款杀毒软件。　　如果你有一定的安全基础或者病毒连安全辅助工具也查不出，不妨试试手动清除病毒。启动安全管理工具ATool，打开ATool，选择左侧的“进程管理”（图2），在界面中可以看到被软件提示为危险的进程。　　除了高亮显示的进程，再查看“发行商”、“概述”两项，是不是有信息为空的进程，如果有，也有可能是木马进程，再进一步判断该进程是不是与系统的进程同名、该进程是不是在任务管理器中看不到。一般来说，“发行商”、“概述”为空的进程都非常可疑，绝不是系统进程，不妨都先结束。　　定位可疑的进程，在左侧点击“服务管理”查看系统服务（图3），发现了两个高亮显示的可疑服务，选中这两个服务，点击右键选择“停止”，然后选择“删除”，接着在资源管理器中将C:\Windows\system32下的yxdwl.exe和Theurlwd.url删除，最后再重启电脑调用杀毒软件进行全盘查杀。安全小百科>> 什么是DDos？　　DDos英文名是Distributed Denial of service ，意思是分布式拒绝服务攻击，通俗地说就是大量电脑同时向特定目标发送垃圾数据包，例如服务器、网站或者单台电脑，造成特定目标瘫痪。　　DDos攻击危害很大，那应该如何抵御呢？要定期进行检测，寻找并排除潜在的安全漏洞；为服务器配置硬件防火墙，可以很好地抵御DDos攻击；设置路由器，限制SYN/ICMP数据包的流量，也可以很好地降低DDos攻击的危害；通过Unicast Reverse Path Forwarding反查询攻击的IP地址源，屏蔽IP地址源。