PALMisLIFE 討論區

搜索
鹹魚爸魅力四射舞蹈教室
查看: 6491|回復: 2
打印 上一主題 下一主題

[轉貼]基本快速發現及移除惡意程式方法

[複製鏈接]

34

主題

0

好友

296

積分

轟的一下被泰坦秒殺

該用戶從未簽到

文章
208
跳轉到指定樓層
1#
發表於 2004-5-4 00:27 |只看該作者 |倒序瀏覽
轉載自:內政部警政署形事警察局
http://www.cib.gov.tw/tw/news/news01_2.aspx?no=372
一、 關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port之不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
二、 檢查登錄編輯器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。
三、 檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案,並刪除之:
(一)、惡意程式—peep.exe:通常會存放在c:\winnt\system32目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常之explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
(二)、惡意程式—service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機之53port,一般53port為DNS之用,且是以UDP方式連線。
(三)、惡意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
四、 重新開機並注意電腦對外通訊情形。
分享淘帖0 分享分享0 收藏收藏0 頂0 踩0
還是握你的手~躲不過~心動的念頭不停竄動

515

主題

9

好友

4504

積分

  • TA的每日心情
    開心
    2011-4-13 15:03
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    3747
    2#
    發表於 2005-12-1 04:04 |只看該作者

    Re: [轉貼]基本快速發現及移除惡意程式方法

    唉.. 嘆氣..

    VNC, Terminal Service, port 5800, 5000 and 3389 曾幾何時這些網管必備工具, 已經被列入"惡意程式"的黑名單 ?

    又真的有多少比例的入侵者, 會大費周章使用 VNC 和 Terminal Service 這些工具呢?

    內政部警政署的資料也有點過時了, 因為如果 Terminal Service被列入考慮的話,  Remote Desktop 也不能免.. (他們是用同一個 port, 但是實質上是不同的 service.. 至少在 Windows 2003 Server 上面來說)

    [ Last edited by achen on 2005-11-30 at 12:08 ]
    SugarSync 點此註冊, 謝謝
    [url=http://db.tt/nHX1VKU]Dropbox 點
    回復

    使用道具 舉報

    11

    主題

    0

    好友

    147

    積分

  • TA的每日心情
    開心
    2011-5-16 05:22
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    140
    3#
    發表於 2005-12-1 07:39 |只看該作者

    Re: [轉貼]基本快速發現及移除惡意程式方法

    "並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port之不明外來遙控連線"
    我看到文中是寫"並注意",沒有寫這二個程式是惡意程式。
    看文章是否該靜下心看?
    回復

    使用道具 舉報

    您需要登錄後才可以回帖 登錄 | 免費註冊

    與站長聯繫| PALMisLIFE 掌上生活      下載:更快、更棒、更好玩

    GMT+8, 2024-11-15 23:32 , Processed in 0.055456 second(s), 30 queries , Gzip On.

    Powered by Discuz!

    © 2001-2012 Comsenz Inc. style by eisdl

    回頂部