网络安全不可忽视,一不小心就让你中招。最近Radmin木马就在网络上疯狂流窜作案。如果大家通过清理注册表启动项的方法去对付它的话,是不能够成功清除的。因为Radmin通过服务项启动,并且极具隐蔽性。大家要是对系统服务不熟悉,还真拿它没有办法。但是再狡猾的狐狸也逃不脱猎人的眼睛。下面我们就来看看来自湖南的扫黑尖兵小舟是如何清除狡猾的Radmin木马的。
情况描述
电脑的鼠标指针无故滑动,像是被别人在操作。并且电脑里多了一些软件程序,其中居然还有宽带账号查看器。电脑也有时自动重启或则关闭。月底去电信营业厅缴上网费,发现莫名多出了使用互联星空进行网上消费的账单,可是我并没有通过电信的互联星空购买任何东西呀。
揪出幕后黑手
根据这些情况,我第一感觉就是中了灰鸽子木马。谁叫灰鸽子 “臭名远扬”呢?于是马上升级杀毒软件,对系统进行全面扫描。但是在漫长的查杀过程中一无所获。于是我又按照《电脑报》扫黑尖兵所介绍的方法来手工绞杀灰鸽子,但是发现并没有中灰鸽子木马。
真不甘心,我难道还搞不定一个小“马”?我不气馁,仔细地排查系统进程,发现了一个可疑进程r_server.exe,发现该进程占用的内存不大,但是电脑在出现我所描述的故障时,便一下子增大了,可见是一个后门程序。马上结束它,并且打开注册表在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的位置寻找可疑的加载值。
但是让我失望的是并没有r_server.exe加载的值,难道它使用什么最新的高技术?一下子我的思路全断了。于是我又打开“命令提示符”输入“netstat –an”来查看计算机的所有连接与端口使用的情况,我查到一个被非法占用的4899端口,并且看到了远程控制我的IP地址。这下露出马脚了。
扫除Radmin害人“马”
根据种种迹象,在网上查看,我猜测我中的是Radmin木马。Radmin木马的默认端口就是4899,并且Radmin不同于普通的木马使用run加载值,而且该木马以前被杀毒软件认为是“良民”的,因为它的原始作用是帮助网管进行远程操作的。但是被黑客滥用于非法对别人入侵后,杀毒软件也不得不对它“痛下杀手”了。
我打开注册表编辑器,用木马进程名r_server.exe作为关键字进行扫描,很快便搜索到相关的键值,我在无意中的点击中打开了“Display Name”键值的修改项,发现数值数据为“Remote Administrator Service”,这应该就是Radmin启动的服务名称了,因为Display Name的作用是在服务列表中显示的名称。
到这里我已经清楚Radmin木马的工作方式了,它并不是通过run键值来加载的,而是通过“服务”来加载的。知道工作方式就好处理了。我打开服务项,依次进入“控制面板→管理工具→服务”,将Remote Administrator Service服务禁用掉,这时我又发现Radmin键值下的Image Path值下有木马程序的目录,通过目录将木马主程序及一些DLL文件删除掉,再将Radmin主键值删除,Radmin就这样被驱除了。
从这个事例,我们可以看到入侵者在小舟的电脑上种上木马后,盗取小舟的宽带账号并通过互联星空进行消费,这是相当卑鄙的,同时这也是犯罪!阿良在这里提醒大家,如果没有使用互联星空服务的需求,最好去营业厅关闭网上购物的功能,以防有所损失。
Radmin木马采用大家都容易忽视的服务方式启动木马,增加了大家扫黑的困难。不过还是那句话,再狡猾的狐狸也逃不过猎人的眼睛。只要是木马,一般都会占用系统的端口,只要我们发现了被非法占用端口,然后顺藤摸瓜,就能找到清除木马的方法。
最后提示大家,关闭不需要的服务不但可以让系统性能提高,也可以在一定程度上增加系统的安全系数。如果大家对系统需要的服务不熟悉,可以借助超级兔子优化软件,在它的启动优化中可以对系统启动的服务进行设置。千万不可自己随意关闭服务,不然有可能导致系统崩溃。
责任编辑:小草
您现在的位置: 