“特洛伊木马程序”技术是黑客常用的攻击方法。它通过在你的电脑系统隐藏一个会在Windows启动时悄悄运行的程序,采用服务器/客户机的运行方式,从而达到在你上网时控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的文件、登录注册表等等。 对付此类黑客程序,我们可以采用LockDown等线上黑客监视程序加以防范,还可以配合使用Cleaner、Sudo99等工具软件。当然,你也可以用下面介绍的一些方法手动检查并清除相应的黑客程序: 手工检查和清除 1.Back Orifice(BO) 检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ RunServices中有无.exe键值。如有,则将其删除,并进入MS-DOS方式,将\\Windows\\System中的.exe文件删除。 2.Back Orifice 2000(BO2000) 检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中有无Umgr32.exe的键值,如有,则将其删除。重新启动电脑,并将\\Windows\\System中的Umgr32.exe删除。 3.Netspy 检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中有无键值Spynotify.exe和Netspy.exe。如有将其删除,重新启动电脑后将\\Windows\\System中的相应文件删除。 4.Happy99 此程序首次运行时,会在荧幕上开启一个名为“Happy new year1999”的窗口,显示美丽的烟花,此时该程序就会将自身复制到Windows95/98的System目录下,更名为Ska.exe,创建文件Ska.dll,并修改Wsock32.dll,将修改前的文件备份为Wsock32.ska,并修改注册表。 用户可以检查注册表\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce中有无键值Ska.exe。如有,将其删除,并删除\\Windows\\System中的Ska.exe和Ska.dll两个文件,将Wsock32.ska更名为Wscok32.dll。 5.Picture 检查Win.ini系统配置文件中“load=”是否指向一个可疑程序,清除该项。重新启动电脑,将指向的程序删除即可。 6.Netbus 用“Netstat -an”查看12345端口是否开启,在注册表相应位置中是否有可疑文件。首先清除注册表中的Netbus的主键,然后重新启动电脑,删除可执行文件即可。 最后,我还要提醒大家注意以下几点: 1.不要轻易运行来历不明和从网上下载的软件。即使通过了一般反病毒软件的检查也不要轻易运行。对于此类软件,要用如Cleaner、Sudo99等专门的黑客程序清除软件检查。 2.保持警惕性,不要轻易相信熟人发来的E-Mail就一定没有黑客程序,如Happy99就会自动加在E-Mail附件当中。 3.不要在聊天室内公开你的Email地址,对来历不明的E-Mail应立即清除。 4.不要随便下载软件(特别是不可靠的FTP站点)。 5.不要将重要口令和资料存放在上网的电脑里。
