網絡安全不可忽視,一不小心就讓你中招。最近Radmin木馬就在網絡上瘋狂流竄作案。如果大家通過清理注冊表啟動項的方法去對付它的話,是不能夠成功清除的。因為Radmin通過服務項啟動,並且極具隱蔽性。大家要是對系統服務不熟悉,還真拿它沒有辦法。但是再狡猾的狐狸也逃不脫獵人的眼睛。下面我們就來看看來自湖南的掃黑尖兵小舟是如何清除狡猾的Radmin木馬的。www.sq120.com推薦文章
情況描述
電腦的鼠標指針無故滑動,像是被別人在操作。並且電腦裡多了一些軟件程序,其中居然還有寬帶賬號查看器。電腦也有時自動重啟或則關閉。月底去電信營業廳繳上網費,發現莫名多出了使用互聯星空進行網上消費的賬單,可是我並沒有通過電信的互聯星空購買任何東西呀。
揪出幕後黑手
根據這些情況,我第一感覺就是中了灰鴿子木馬。誰叫灰鴿子 “臭名遠揚”呢?於是馬上升級殺毒軟件,對系統進行全面掃描。但是在漫長的查殺過程中一無所獲。於是我又按照《電腦報》掃黑尖兵所介紹的方法來手工絞殺灰鴿子,但是發現並沒有中灰鴿子木馬。
真不甘心,我難道還搞不定一個小“馬”?我不氣餒,仔細地排查系統進程,發現了一個可疑進程r_server.exe,發現該進程占用的內存不大,但是電腦在出現我所描述的故障時,便一下子增大了,可見是一個後門程序。TW.wINGwIT.cOm馬上結束它,並且打開注冊表在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的位置尋找可疑的加載值。
但是讓我失望的是並沒有r_server.exe加載的值,難道它使用什麼最新的高技術?一下子我的思路全斷了。於是我又打開“命令提示符”輸入“netstat –an”來查看計算機的所有連接與端口使用的情況,我查到一個被非法占用的4899端口,並且看到了遠程控制我的IP地址。這下露出馬腳了。
掃除Radmin害人“馬”
根據種種跡象,在網上查看,我猜測我中的是Radmin木馬。Radmin木馬的默認端口就是4899,並且Radmin不同於普通的木馬使用run加載值,而且該木馬以前被殺毒軟件認為是“良民”的,因為它的原始作用是幫助網管進行遠程操作的。但是被黑客濫用於非法對別人入侵後,殺毒軟件也不得不對它“痛下殺手”了。
我打開注冊表編輯器,用木馬進程名r_server.exe作為關鍵字進行掃描,很快便搜索到相關的鍵值,我在無意中的點擊中打開了“Display Name”鍵值的修改項,發現數值數據為“Remote Administrator Service”,這應該就是Radmin啟動的服務名稱了,因為Display Name的作用是在服務列表中顯示的名稱。
到這裡我已經清楚Radmin木馬的工作方式了,它並不是通過run鍵值來加載的,而是通過“服務”來加載的。知道工作方式就好處理了。我打開服務項,依次進入“控制面板→管理工具→服務”,將Remote Administrator Service服務禁用掉,這時我又發現Radmin鍵值下的Image Path值下有木馬程序的目錄,通過目錄將木馬主程序及一些DLL文件刪除掉,再將Radmin主鍵值刪除,Radmin就這樣被驅除了。
從這個事例,我們可以看到入侵者在小舟的電腦上種上木馬後,盜取小舟的寬帶賬號並通過互聯星空進行消費,這是相當卑鄙的,同時這也是犯罪!阿良在這裡提醒大家,如果沒有使用互聯星空服務的需求,最好去營業廳關閉網上購物的功能,以防有所損失。
Radmin木馬采用大家都容易忽視的服務方式啟動木馬,增加了大家掃黑的困難。不過還是那句話,再狡猾的狐狸也逃不過獵人的眼睛。只要是木馬,一般都會占用系統的端口,只要我們發現了被非法占用端口,然後順籐摸瓜,就能找到清除木馬的方法。
最後提示大家,關閉不需要的服務不但可以讓系統性能提高,也可以在一定程度上增加系統的安全系數。如果大家對系統需要的服務不熟悉,可以借助超級兔子優化軟件,在它的啟動優化中可以對系統啟動的服務進行設置。千萬不可自己隨意關閉服務,不然有可能導致系統崩潰。
From:http://tw.wingwit.com/Article/Network/201309/525.html