流萤木马是什么?
流萤木马是什么?
全部回答
流萤木马是一款全新的国产反弹型木马程序,它的特点就是服务端小巧,仅有36KB的大小。它的服务端程序之所以小巧,完全是因为它的服务端程序仅仅是一个“下载者”程序。当这个“下载者”程序安装到系统以后,才会将真正的服务端程序安装到系统之中,这也就是中招后系统出现假死的主要原因。
另外该木马可以调用包括IE浏览器在内的众多系统进程,并且服务端程序运行十分稳定,客户端程序可以同时对几个服务端进行操作。 隐私大白天下 今天,万大夫接待了这样一位病人。
来者自称姓马,他称早上一个好友打来电话,声称在一个论坛发现了自己和我女朋友的照片,这些照片并不是自己上传上去的。 听病人讲到这里,万大夫心里对情况已经有了大致的了解。 接着万大夫一边听着病人的描述,一边进行着详细的记录。
病人告诉万大夫说:元旦前一天上午有一段时间,系统好像假死一样不能操作,不过硬盘却一直在狂转,好像在下载什么东西。 接着出现一个IE浏览器的连接网络的提示框,重新启动后不久又出现其他系统进程的连接窗口。
自己怕麻烦就同意通过了,结果自己的照片就被偷了。通过病人的叙述,万大夫基本上可以肯定这款木马就是现在网络中活动异常猖獗的“流萤”木马。来源:考试大网 萤的隐身术 当万大夫确诊病情以后,就开始准备进行治疗了。
首先万大夫从系统的启动项着手,准备从中找到木马程序的启动项。 万大夫首先选择查看系统启动项的佼佼者AutoRuns,点击AutoRuns的“用户”选项选择用户,接着就会在主界面中将启动项和进程全部显示出来。
点击操作界面的“全部”标签,这样系统的所有启动项就一目了然了。 经过认真检查,万大夫很快就在系统服务启动项中发现一个可疑的启动项。 它之所以引起大夫的注意,并不是它的启动名称,而是因为它在列表中的“说明”和“发行商”两项都没有任何的标注,而正规的软件程序在这两项中都会有标注。
可是该文件也没有进行伪装,这不像是黑客惯用的伎俩啊? 接着万大夫再来看看系统中有没有可疑的进程,他使用的是Process Explorer。 该软件可以让用户了解看不到的那些在后台执行的程序进程,通过它能显示目前已经载入的程序模块、程序所调用的 DLL进程等。
Process Explorer最大的特色就是可以结束任何进程,甚至包括系统的关键进程都可以结束。 首先我们应该了解,进程分为两种。一种是系统进程,即System进程树下的所有进程;一种是普通进程,即在Explorer进程树下的所有进程。
对于那些拥有独立进程的木马程序,使用Process Explorer很容易就能发现的。经过认真查看,在System进程树下发现了一个名为FireFly。exe的可疑进程,正好这个可疑进程和那个可疑的启动项是联系到一起的。
现在大夫来进行木马程序的清除工作。首先在Process Explorer的System进程树下,找到FireFly。 exe这个可疑进程,然后点击右键菜单中的“终止进程”按钮将该进程结束。
再切换到AutoRuns窗口,在系统服务中找到该木马的启动项Remote Control,同样点击鼠标右键中的“删除”命令即可删除该启动项。 由于AutoRuns的删除是直接对注册表进行操作的,没有办法自动恢复,所以用户不要看到什么使人生疑的东西就删除。
如果仅仅是怀疑的话,用的时候把启动项前面的钩去掉就可以了。最后来到磁盘的C:Program Files irefly-remote文件夹下,将整个文件夹删除即可。 由于流萤是一款木马程序,所以它主要是通过网页木马、文件捆绑等主要方式进行传播的。
但是人们往往忽略这些环节而“大意失荆州”,以至于在个人信息受到威胁时后悔莫及。 从整个木马清除过程来看,最简单的可疑程序检测方法就是参看这些文件的“说明”和“发行商”有没有具体的内容。
如果发现某些文件没有这些内容的介绍,那么首先就需要对它们进行重点检查。 除此之外我们知道,现在很多具有远程控制功能的软件,自身都带有一个“/u”的卸载参数,运行后服务端就可以完全卸载。 以后遇到可疑文件就可以用这个参数来试着卸载,流萤的服务端也可以采用这种方式进行卸载。
另外该木马可以调用包括IE浏览器在内的众多系统进程,并且服务端程序运行十分稳定,客户端程序可以同时对几个服务端进行操作。 隐私大白天下 今天,万大夫接待了这样一位病人。
来者自称姓马,他称早上一个好友打来电话,声称在一个论坛发现了自己和我女朋友的照片,这些照片并不是自己上传上去的。 听病人讲到这里,万大夫心里对情况已经有了大致的了解。 接着万大夫一边听着病人的描述,一边进行着详细的记录。
病人告诉万大夫说:元旦前一天上午有一段时间,系统好像假死一样不能操作,不过硬盘却一直在狂转,好像在下载什么东西。 接着出现一个IE浏览器的连接网络的提示框,重新启动后不久又出现其他系统进程的连接窗口。
自己怕麻烦就同意通过了,结果自己的照片就被偷了。通过病人的叙述,万大夫基本上可以肯定这款木马就是现在网络中活动异常猖獗的“流萤”木马。来源:考试大网 萤的隐身术 当万大夫确诊病情以后,就开始准备进行治疗了。
首先万大夫从系统的启动项着手,准备从中找到木马程序的启动项。 万大夫首先选择查看系统启动项的佼佼者AutoRuns,点击AutoRuns的“用户”选项选择用户,接着就会在主界面中将启动项和进程全部显示出来。
点击操作界面的“全部”标签,这样系统的所有启动项就一目了然了。 经过认真检查,万大夫很快就在系统服务启动项中发现一个可疑的启动项。 它之所以引起大夫的注意,并不是它的启动名称,而是因为它在列表中的“说明”和“发行商”两项都没有任何的标注,而正规的软件程序在这两项中都会有标注。
可是该文件也没有进行伪装,这不像是黑客惯用的伎俩啊? 接着万大夫再来看看系统中有没有可疑的进程,他使用的是Process Explorer。 该软件可以让用户了解看不到的那些在后台执行的程序进程,通过它能显示目前已经载入的程序模块、程序所调用的 DLL进程等。
Process Explorer最大的特色就是可以结束任何进程,甚至包括系统的关键进程都可以结束。 首先我们应该了解,进程分为两种。一种是系统进程,即System进程树下的所有进程;一种是普通进程,即在Explorer进程树下的所有进程。
对于那些拥有独立进程的木马程序,使用Process Explorer很容易就能发现的。经过认真查看,在System进程树下发现了一个名为FireFly。exe的可疑进程,正好这个可疑进程和那个可疑的启动项是联系到一起的。
现在大夫来进行木马程序的清除工作。首先在Process Explorer的System进程树下,找到FireFly。 exe这个可疑进程,然后点击右键菜单中的“终止进程”按钮将该进程结束。
再切换到AutoRuns窗口,在系统服务中找到该木马的启动项Remote Control,同样点击鼠标右键中的“删除”命令即可删除该启动项。 由于AutoRuns的删除是直接对注册表进行操作的,没有办法自动恢复,所以用户不要看到什么使人生疑的东西就删除。
如果仅仅是怀疑的话,用的时候把启动项前面的钩去掉就可以了。最后来到磁盘的C:Program Files irefly-remote文件夹下,将整个文件夹删除即可。 由于流萤是一款木马程序,所以它主要是通过网页木马、文件捆绑等主要方式进行传播的。
但是人们往往忽略这些环节而“大意失荆州”,以至于在个人信息受到威胁时后悔莫及。 从整个木马清除过程来看,最简单的可疑程序检测方法就是参看这些文件的“说明”和“发行商”有没有具体的内容。
如果发现某些文件没有这些内容的介绍,那么首先就需要对它们进行重点检查。 除此之外我们知道,现在很多具有远程控制功能的软件,自身都带有一个“/u”的卸载参数,运行后服务端就可以完全卸载。 以后遇到可疑文件就可以用这个参数来试着卸载,流萤的服务端也可以采用这种方式进行卸载。
热点推荐
热度TOP
-
-
转轮术是什么意思
0人阅读
-
-
兰州比较好的男科医院在哪里?(兰州利民医院)男科
31人阅读
-
大岭山男科哪里看的好
0人阅读
-
哈尔滨宾县医院有没有无痛引产
0人阅读
相关推荐
加载中...