提示:普通玩家请勿模仿
佛曰:我不入地狱,谁入地狱?
针对日益严重的盗号情况,现收集木马链接,亲身体验“中马”的感觉。
再努力寻找解决的方法,真不行的话,至少找出病因!
老牌著名木马网站www.某某chian.com,就先拿这个试刀了。
需要准备的知识:
1,了解Hijackthis
2,了解Icesword
3,比较熟悉系统进程
实验环境:
WinXPSP2,无任何杀毒软件。无任何最新补丁。新装的系统,一定程度上的“裸机”。进程如下图。
也可以从托板看到,没有启动任何杀毒软件。
好了,现在开始登陆www.某某某chian.com网站,以进去,发现不断的下载图片,Active控件,呵呵,没有去过该网站的,可以看下我的图,过过瘾也好。
在打开网站的图中,鼠标一直显示“运行”的状态,呵呵,这可能是一点比较偏的感觉吧。如果你们打开一个网站,鼠标这样,要注意点。
好了,等待了几分钟后,关键时刻来了。我究竟有没有中马呢、
打开进程一看。嘿嘿。
Svhost32,名字“比较”有水平。仔细看了下,哈哈,竟然在C:\Program Files底下建立了一个Microsoft文件夹,木马就在此文件夹底下。别被路径骗了,以为这个是MS的程序,你们可以看看,自己的电脑,Program Files底下是没有这个文件夹的。
好了,初步确认木马以后,需要进一步使用下一些小软件。
我的MT和RL:Hijackthis和Icesword。
Hijackthis大家比较熟悉啦,Icesword的话,有空教大家一些,比较好用也比较危险。
Icesword里面有一个“信息钩子”的选项,点进去一看,嘿嘿。果然svhost32在监控MOUSE和GETMESSAGE。
接下来很简单,删除C:\Program Files\Microsoft\文件夹即可。
再用Hijackthis扫描下。主要注意F3,04的svchost32,还有agetltfes项,都修复了。Agetltfes也监视MOUSE,KEYBOARD等,网上信息很少,是上了木马网后出现的,安全起见,删除。
总结:此老牌盗号木马网站,当年可是让不少人中招。故意注册此域名不能不说是令人惊讶。随着广大群众水平的提高,和杀毒软件的提升,现在已经不能再欺负人了,除非你的电脑是裸机。
用norton企业版10.2测试,发现没有中毒。
OK,下次再试试广告链接里面的木马,我们的目标是:没木马。
本贴的目标是让大家知道,注意上网的习惯。养成良好的“意识”,才是防盗号的关键,手把手教大家如何发现木马,和使用软件,相信是最好的方法。却是漫长和艰苦的过程,希望我能坚持。还有一些来踢馆的朋友就饶了我吧,我并没有大家想象中的厉害。只是力所能及的,加上有时间,就写一下文章。
不必太依赖杀马软件,有空学学小东西,空闲打开一下,一分钟即可。方便快捷,将会出一系列教程,包括:Process Explorer,Icesword,SSM等。希望大家喜欢。
