题目：对广外女生木马的分析与对策
对广外女生木马的分析与对策
发布时间：2013年10月24日
摘要广外女生是一个功能强大的国产木马程序具有特殊的感染机理和自我安全保障功能为了保障计算机的系统安全和用户信息安全通过深入的分析和研究发现其在后台运行时实时监测其在注册表中的注册信息防止用户修改且其服务器程序与.EXE和.COM 文件相关联防止用户终止其服务器程序等本文阐明了该木马的特征和感染机理最终给出了彻底清除的详细操作方法亦为开发针对其的专杀工具提供了依据
关键词广外女生感染机理木马病毒清除方法
1 引言
近几年由于Internet的广泛应用计算机病毒的发展也早已由过去的单机危害过度到目前主要以网络为媒介的网络危害在新形势下尤以木马类病毒的危害最为严重它在监听受感染用户的系统时不仅可以一览无余地浏览用户硬盘资料而且可以监视用户操作更为可怕的是其极有可能窃取用户的各种帐号和密码例如用户的银行卡在网上使用时给受感染用户造成更加严重的损失木马――其实质只是一个网络客户/服务程序网络客户/服务模式的原理是一台主机提供服务称为服务器即受感染用户系统另一台主机接受服务称为客户机即用于监听的系统作为服务器的主机一般会打开一个默认的端口并进行监听Listen 如果有客户机向服务器的这一端口提出连接请求Connect Request 服务器上的相应程序就会自动运行来应答客户机的请求在此类病毒中即有赫赫有名的国产冰河广外女生也有小有名气的初恋情人网络精灵最近本人不幸感染到了广外女生也曾到Internet上查找到一些清除该木马程序的相关资料然而却没有一份资料能够完全清除要么其会死灰复燃要么计算机无法使用所幸的是经过本人分析研究后发现网上的一些分析存在严重的不完善因而处理的结果可想而知下面就将本人对广外女生木马的感染机理及清除方法介绍。

2 感染及作用机理
题目：对广外女生木马的分析与对策
2.1 服务器程序存放位置系统感染此木马后其将会在系统的System目录下生成一份自己的拷贝请查System目录及图1注册表文件位置名称为Diagcfg.exe 在Windows环境下此程序已经在进程中因此无法清除在Dos下虽然可以清除但会引起后遗症请看以下几条。

2.2 服务器程序关联EXE 文件如图2 图3所示该木马在注册表的两个位位置均进行了EXE文件关联这说明当Diagcfg.exe被删除后在Windows环境下将导致所有的EXE文件无法运行。

2.3 服务器程序关联COM 文件所示该木马在注册表中不仅进行了EXE文件关联而且同时在两个位置均进行了COM文件关联这说明当Diagcfg.exe被删除后在Windows环境下将同时导致所有的COM文件无法运行这也是该木马更新后的进步导致一些介绍资料的清除手段无法实现的要害之处。

2.4 小结经过以上分析我们不难发现该木马程序在运行期间无法删除势必有些人会想到进入Dos环境后删除这样会导致两个问题将要面对一个是重新进入Windows后导致所有程序无法运行另一个已经无法找回Diagcfg.exe 也就失去了带病工作的机会因此在使用删除功能时一定要谨慎行事完全可以换成更名Rename 命令以防万一
3 分析研究
Diagcfg.exe程序在运行期间不仅可以与客户端程序进行通讯联系而且可以监视注册表信息变化一旦由其本身与EXE和COM文件的关联被改变即会自动将之恢复成关联状态因此无法在Diagcfg.exe程序运行期间进行注册表的修改如果Diagcfg.exe程序已经被更名或删除由于其已经与EXE文件进行了关联将导致在Windows 环境下注册表编辑器程序Regedit.exe无法运行也就意味着无法修改注册表中的相关信息因而在此状态下希望通过注册表编辑器程序Regedit.exe取消Diagcfg.exe程序与EXE和COM的关联成为不可能在研究中还发现当Diagcfg.exe程序已经被更名或删除时注册表文件的导入功能并未被Diagcfg.exe程序所屏蔽这就为我们手工清除该木马程序提供了机会。

题目：对广外女生木马的分析与对策
4 清除方法
4.1 制做导入注册表文件启动系统制作如下内容的注册表文件有两点需要注意第一点是首行与第二行之间一定要空一行这是注册表导入文件格式所要求的第二点是无论使用何种编辑软件在存盘时一定要存为文本格式而扩展名必须为.REG 如将以下内容存入fix.reg。

4.2 导入注册表文件将此文件存盘后将系统转入DOS 注意不是MS_DOS方式而应该重新起动系统后转入DOS 或点击开始菜单选择关闭系统在出现的对话框中选择重新启动计算机并切换到MS DOS方式更名Diagcfg.exe 然后重新进入Windows 此时系统无法使用任何.EXE和.COM文件双击fix.reg 将其内容导入系统注册表所有.EXE和.COM文件可以使用系统恢复正常此时可以将Diagcfg.exe 从磁盘上删除 5 容易忽略的问题迷信杀毒软件是造成一般用户进一步损害的原因当使用杀毒软件进行扫描系统时如果发现木马病毒一定要在进一步处理前将杀毒软件发现的服务器程序进行备份不要轻易选择删除程序否则极易造成新的影响因为功能较强的木马程序往往进行了类似的关联甚至木马服务器程序还存在着伺服性质的伴侣程序并非杀毒软件容易清除的比如冰河木马不仅有关联监视注册表而且还有伺服程序此处不再赘述在对杀毒软件发现的木马服务器程序进行备份后可以继续按照杀毒软件的提示进行杀毒操作杀毒后如果系统出现无法启动或启动后无法运行应用程序等问题时可以将木马服务器程序进行恢复然后再上网搜寻相关木马的专杀工具软件进行针对性的清除如果未能找到专杀工具只有通过分析其感染机理进行手工清除 6 结论通过对广外女生木马病毒的手工清除可以为我们提供一个有意的思路关键是需要我们找到服务器程序然后对其感染原理和影响方式进行认真的分析研究这当然需要一定的时间而且需要对系统的注册表和系统配置实用程序Msconfig.exe比较熟悉还需要足够的耐心当有过几次成功的经验后再遇到此类木马必然会应付起来游刃有余本人已经成功的清除过不同版本的冰河和最近比较流行的QQ盗号等木马程序7 两点说明严格地讲木马并非病毒它不具有计算机病毒程序的定义中的所有特性和特点本文
题目：对广外女生木马的分析与对策
只是通俗了一点准确的说法应该称其为木马程序木马在侵入Win 2000/XP系统时其服务器程序一般是存在于System32目录下的。