网络神偷又名Nethief,是第一个反弹端口型木马!
什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧”,然后就进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP服务端的IP地址:1026客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧,
清除方法:
网络神偷会在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下建立键值“internet”,其值为internet.exe /s,将键值删除;
删除其自启动程序C:\Windows\SYSTEM\Internet.EXE。
OK,神偷完蛋了!
internet - internet.exe - 进程信息
进程文件: internet 或者 internet.exe
进程名称: MAGICCALL virus
描述:
internet.exe是MAGICCALL病毒相关进程。
就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:\windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。
现在瑞星2008公测.免费可以下载试用!
http://www.rising.com.cn/
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024