如何清除冰河木马
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626.
一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的
HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices
分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。
最后,恢复注册表中的TXT文件关联功能,只要将注册表的
HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command
下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。
怎么样使用冰河木马V8.4版本?(控制局域网以外的电脑)要详细点,最好有图解,谢谢。
还真没用过冰河,估计穿透内网费劲。没听说冰河有穿透内网的功能。而且冰河8.4的开发主要适用于局域网。其作者开发目的也不是为了做木马。如果只是由于办公需要进行远程控制的话,可以用netman之类的软件。也可以用黑洞,不过黑洞很容易被杀毒软件杀掉。需要做免杀。当然也可以将目标机的杀软关闭掉。比如我在家里控制单位的电脑,由于不会免杀,只能将单位机的杀软关闭掉。当然灰鸽子也能穿透内网。不过我用着还是黑洞顺手。
如果是由于hacker的目的进行远程监控的话,推荐你还是先学习一下免杀吧~
中了冰河木马怎么办?删除办法?
方法一: 如果安装了“冰河”服务端的朋友就很简单了。首先在自动扫描中输入自己的IP,看一下扫描结果是否为“OK”,并且左边的“文件管理器”中会出现自己的IP吗?如果有,在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了。 方法二: 如果没有“冰河”这个软件朋友也不用着急,请用下面的方法查找并解除木马。 运行REGEDIT命令打开注册表编辑器,在KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 查看键值中没有自己不熟悉的自动启动文件,扩展名为EXE。(一般“冰河”的默认文件名为KERNEL32.EXE,注意此文件的名字可能会被种马的人改变)。 如果有,那我们现在开始进行修改,先删除该键值中这一项,再删除RUNDRIVES这个键值。 一般“冰河”用户端程序的自我保护设为:关联TXT文件或EXE文件,关联的文件为:SYSEXPLR.EXE。 A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框,选择“文件类型” 在“已注册文件类型”框中找到“TXT FILE”这一项,看一下“打开方式”有无变化(一般为:NOTEPAD),如果关联对象不是NOTEPAD,选择“编辑”按钮,在“操作”框中删除“OPEN”这一项,那关联 TXT文件的用户程序就失效了。 B、如果是关联的EXE文件,那打开注册表编辑器,在HKEY_CLASSES_ROOT\.exe中把 “默认”的键值随便改成什么(注意看清楚,等会儿要改回来)。 以上这两步做完后,退出WINDOWS,在DOS状态下删除该“冰河”用户端程序,重新启动即可。 注意:要把EXE文件的注册表改回来。 好了,再搜索用木马程序看有没有(没有了吧,偷着笑吧^_^,不用格式化硬盘了)
如何使用“冰河木马”?
冰河使用方法首先下载冰河,点击冰河主程序(这个大家都会吧)首先,配置本地服务器程序,单击从右边数过来第三个图标(或在设置-配置服务器程序)在基本设置中:安装路径指服务器程序运行时,自动安装在哪个文件夹;文件名称指服务器安装后程序的名称,进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名;访问口令指如果您加了密码,访问中此木马的密码;敏感字符指你想要获取对方密码的关键词,比如输入password,冰河服务端将记录 password的密码;提示信息指对方运行服务端出现的窗口,比如说此文件已损坏等骗人的话;监听端口指中冰河者打开的端口,您用冰河控制端通过这个端口访问;自动删除安装文件指对方运行服务端后,是否删除本身(就是运行后,程序不见了,而会在其它地方安装了)禁止自动拨号指运行服务端后,是否马上拨号上网连接。 在自我保护中:已经写的很清楚了,不再重复!在邮件通知中:不再重复。注意SMTP服务器指发送邮件服务器地址,通常申请邮箱时服务商会提供。根据您的需要配置好服务端,把他发送给对方,最好用捆绑软件捆绑加密一下。如果您想找现成的中了木马冰河的机器,就用冰河的搜索计算机功能(速度很慢)扫描,扫描后该知道干什么了吧!注意:使用时,1、自己应当关闭防火墙,否则将失败! 2、小心“小猪快跑”等软件的反追踪! 3、填写密码时,按旁边的应用才会有效!
冰河(木马)的具体功能
该软件主要用于远程监控,具体功能包括:1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;7.发送信息:以四种常用图标向被控端发送简短信息;8.点对点通讯:以聊天室形式同被控端进行在线交谈。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
冰河木马怎么使用啊?
目前网络上“菜鸟”(初学者)很多,稍不留神就会中了“冰河”,冰河凭借其强大的功能、简单的操作而广泛流传,目前国内中此木马者最多,许多人想了解木马冰河,但又不知如何下手,所以小弟整理了一下资料,以供大家参阅,由于时间仓促,本书有很多不足之处,望各位高手指点。
首先下载冰河,点击冰河主程序(就是图标是小刀的那个文件,文件名G_Client.exe,大小454K),出现主界面: 首先,配置本地服务器程序,单击从右边数过来第三个图标(或在设置-配置服务器程序),弹出服务器设置。
在基本设置中:安装路径指服务器程序运行时,自动安装在哪个文件夹;文件名称指服务器安装后程序的名称,进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名;访问口令指如果您加了密码,访问中此木马的密码;敏感字符指你想要获取对方密码的关键词,比如输入password,冰河服务端将记录password的密码;提示信息指对方运行服务端出现的窗口,比如说此文件已损坏等骗人的话;监听端口指中冰河者打开的端口,您用冰河控制端通过这个端口访问;自动删除安装文件指对方运行服务端后,是否删除本身(就是运行后,程序不见了,而会在其它地方安装了)禁止自动拨号指运行服务端后,是否马上拨号上网连接。
在自我保护中:已经写的很清楚了,不再重复!
在邮件通知中:不再重复。注意SMTP服务器指发送邮件服务器地址,通常申请邮箱时服务商会提供。
根据您的需要配置好服务端,把他发送给对方,最好用捆绑软件捆绑加密一下。
如果您想找现成的中了木马冰河的机器,就用冰河的搜索计算机功能(速度很慢)扫描,扫描后该知道干什么了吧!
注意:使用时,1、自己应当关闭防火墙,否则将失败!
2、小心“小猪快跑”等软件的反追踪!
3、填写密码时,按旁边的应用才会有效!
--------------------------------------------------------------------------------
冰河凭借着简单易用、功能强大,而且国内感染率最高,深受广大菜鸟的喜欢,万能密码05181977的出现更吸引了无数的崇拜者,而且前些时候冰河第一站(http://knifes.126.com)发布冰河有重大的漏洞(本站电脑安全文章也有此篇文章“不需要任何密码就能到达中了冰河的机器”),更一步使冰河广泛应用。
自从2000年3月17日原作者“黄鑫”发布冰河V2.2[DARKSUN专版]以后,作者就停止了开发,然而网络便有一些人开展了冰河的后续版本,如冰河V2.2改良版本、冰河V3.0[YZKZERO专版]、冰河V3.3[OICQBOY专版]、冰河V4.0[Hyne专版]等等等等。然而笔者容笑惊奇地发现,这些版本,作者都声称没有万能密码,但事实却摆在眼前,都给自己留了一条后路,把万能密码改了一下!见下图:
2.2版:Can you speak Chinese? (容笑试了没用,可能是另外一个版本)
2.2版:05181977
3.0版:yzkzero!
3.3版:******?*(*号代表空格)
4.0版:05181977
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq20000!
这只是一小部分,实际上只要通过一个最常用的工具,就能使它们的万能密码显出原形,而且操作非常方便,就算刚刚学会电脑的人也会操作,根本不用什么跟踪软件等等。
方法如下:
准备两个版本冰河的服务端(就是木马,你自己不能点击的那个,文件名一般为G_server.exe,微软的图标,就是平时文件没有指定程序打开出现的图标,下载地址:http://www.heihoo.com/反正下载地址多的是,哪方便、哪速度快就下载去吧!)和UltraEdit(一个文本编辑器,http://www.inhua.com有下载,而且有汉化包)。
首先用ultraEdit打开两个服务端程序(注意:可不是双击它们的图标,否则自己中木马了,一定要用UltraEdit打开,切记!切记!)然后“文件→比较文件”,再跳出的窗口中,在“不同之处不同颜色、忽略空行和空格、只显示彼此不同的行”前面的对钩打上。
然后,按一下比较文件按钮。看到了没有,万能密码出来了!
阿酷注:此简单方法对于改动大的冰河改本比较麻烦,可能一时找不出万能密码,这是因为不同处太多,一时无法找到,但容笑相信肯定会显示出来的!
冰河出现到现在,使用得如此之广,影响如此之大。
却万万没有人想到冰河服务端竟然存在着如此严重的漏洞:“不需要任何密码就可以将本地文件在远程机器上打开!!!”
漏洞一:不需要密码远程运行本地文件漏洞。
具体操作:工具用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行!!!
我们只要利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了。(当然也可以上传任何一个木马程序的服务端实现)
漏洞二:不需要密码就能用发送信息命令发送信息,(不是用冰河信使,而是用控制类命令的发发送信息命令)。
这些漏洞都是本人在实际使用冰河时发现的,在此之前也是万万没想过冰河竟是 如此的不堪一击!
安全警告:大家不要用冰河作远程传送,管理程序用,就算是设密码,改端口,只要端口一露,就完完了。 有不少人到现在还在用冰河作远程管理程序用,千万不要迷信设有密码就能高枕无忧了,只要扫到了冰河打开的端口,就连通用的密码也省了,就能进入,进入后再把先前的那个服务端手工删除掉,这台机就是你一个人的了(当然是排除了中了几个木马的情况,就是中了几个木马你也可以手工删除,得以实现的)。
后话:冰河自从黄鑫出了DARKSUN2.2专版后,陆续有人以此版为蓝本修改冰河服务端,于是有了3.0,3.1,3.3,3.4,3.5,v9.9,4.0,4.1各种版本其中大部分都只是改了服务端的通用密码,并且每个修改者都说自己改的是无通用密码版,一当自己改版被破解又出个所谓的“无通用密码版”,现在的冰河服务端都会有通用密码,试问有那个修改者,在修改时不把通用密码换成自己的。更让人气的是有不少冰河版本只将通用密码改成自己的,然后在公布时大声宣称此版为“无通用密码版”,知道这些内幕后我们不必去追求这些自私自利人改的无密码版。何况,冰河存在着现在这样的一个严重漏洞!
附:冰河各版本的通用密码
2.2版:Can you speak Chinese?
2.2版:05181977
3.0版:yzkzero!
4.0版:05181977
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq20000!
冰河有许多版本,导致卸载冰河无一“绝对”方法。
(1)清除冰河V1.1的方法
找开注册表Regedit;
打开HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,删除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"两项。
如果有进程软件,就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止;删除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE(因为程序正在运行,无法删除,所以先要终止)
如果没有进程软件,就重新启动到DOS窗口,删除(DEL)C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE。
(2)清除冰河V2.2[DARKSUN专版]方法
因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变,所以查杀难度复杂,以默认的配置为例,查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE两项,把陌生的文件路径删除(要有一定的WINDOWS的基础才能删除),然后根据路径按照V1.1的方法删除文件。
(3)清除盗版冰河(就是改变万能密码的冰河版本)的方法
盗版冰河与冰河[DARKSUN专版]仅是多了一个文件,原来冰河V2.2[DARKSUN专版]在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE只启动一个程序,现在启动两个程序,另外多出的一个程序的功能就是恢复第一个程序(即服务端),所以清除的时候把另外多出的程序也删除。
上次介绍的方法只能在默认的方法下使用,所以很难奏效!下面介绍几种方法可以彻底查杀!
一、自杀行动!
就是下载相应的版本的冰河,利用控制端来卸载服务端。方法如下:启动控制端,在添加主机里添加127.0.0.1(就是脱机状态下的默认IP地址),按应用,如果链接成功,在命令控制台→控制类命令→系统控制→自动卸载冰河,把冰河成功卸载,如果状态栏显示口令错误,无法链接(这是因为在你电脑植入冰河木马的人加了密码,有密码才能链接),试试下面的万能密码:
2.2版:Can you speak Chinese?
2.2版:05181977
3.0版:yzkzero!
4.0版:05181977
3.0版:yzkzero.51.net
3.3版:******?*(*号代表空格)
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq20000!
如果成功了按上面的方法,卸载冰河!
二、杀毒软件
用杀毒软件把冰河服务端卸载掉,容笑推荐大家用金山毒霸把服务端卸载掉(因为据容笑测试,金山毒霸对各种版本的冰河查杀率最高),杀毒以后,可能文件文件或EXE(可执行文件)不能打开,所以杀毒前最好先检查一下冰河有没有把文本文件关联,如果关联了,先恢复,查看方法是在我的电脑的菜单栏“查看”→“文件夹选项”→“文件类型”,找到文本文件图标查看是否用C:\WINDOWS\Notepad.exe程序打开,如果不是,大概是冰河木马关联了文本文件!恢复方法是在打开方式中选择C:\WINDOWS\Notepad.exe程序打开即可或直接按住SHIFT,用鼠标右键单击文本文件,在右键上选择打开方式,选择C:\WINDOWS\Notepad.exe,而且在“始终使用该程序打开这种类型的文件”前面的钩打开,确定即可。如果感染了EXE文件,恢复的办法,最最简单的方法就是恢复注册表,如果感染冰河在5天以内,可在DOS状态下用scanreg/restore命令恢复,时间长一点,导入以前备份的注册表(备份注册表很重要,容笑建议经常备份注册表)。此方法对于屡屡升级的冰河,可能作用不大!
三、我想关键问题还是在于预防,备份重要数据和系统文件;不要随意打开邮件的附件(最好不要用OE5.0或5.5),因为它们有一个漏洞,就是可以自动执行附件;下载软件一定要到大的网站去下载,它们有专门人员负责杀毒,减低风险!笔者建议大家装三个软件,一、天网防火墙(即使您中了冰河木马,有天网保护,谁有进不了您的电脑)、Regrun II(一个实时监控制软件,只要木马在电脑的各项启动程序中添加,它就会报警,还有终止进程的功能)、Relive(一个比较前后文件的数量,它让你知道,您的电脑中多了什么不明程序[如木马程序]),有此三法宝在,您就很轻松地卸载冰河木马了,也可以是大部分木马!
上次本人和大家讲了用UltraEdit-32比较两个服务端程序而得到冰河的万能密码,其实冰河的各个版本都是原作者黄鑫冰河的“盗版”,而且制作方法很简单,不用几分钟,一个属于自己的“盗版冰河”就产生了!
方法如下:
本次实验准备两个程序:UltraEdit、冰河远程控制软件(最好用正版[即黄鑫的冰河])!
首先我们先改变冰河服务端的万能密码:用UltraEdit打开冰河的服务端,然后查找万能密码“05181977”(如果您用的冰河是其它版本,请先按上次的方法,得出万能密码,然后查找这个万能密码),然后替换成自己的万能密码,随便自己填!
服务端已经基本修改好了,接下来就是对控制端进行个性修改了,用UltraEdit打开冰河的控制端程序,然后根据上面的方法。
第一步,修改标题就是那个“冰河V2.2 [DARKSUN专版]”和启动画面文字,查找“v2.2”,看到了吗!把“V2.2”这几个字改成您的版本号就可以了,如“V9.9”,保存,然后在查找DARKSUN,其实就是V2.2旁边,把它改成自己的专版就可以了,如“WWWRONG”最好英文字母个数和原版一样,以免发生错误,然后保存,先看看自己的杰作,标题上显示就是冰河 V9.9 [WWWRONG专版],启动画面的文字也变成[WWWRONG 专版]。
第二步,修改帮助菜单栏中“关于‘冰河’”画面的修改,主要是修改“作者:黄鑫、网址、软件完成日期”,作者仅以修改作者姓名为例:按照上面的方法查找“黄”,找到“黄”,一定要看到旁边有一个鑫字才可修改,否则改了其它代码,程序就不能运行了,好了替换成自己的大名就可以了。
第三步,如果您想要改其它的项目,按照上面简单的方面可以实现您的目的,但是要记住,一定要先备份一份,以免出现错误还可重新来过.
冰河木马如何清除
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626. 一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的 HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices 分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。 最后,恢复注册表中的TXT文件关联功能,只要将注册表的 HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command 下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。