学习啦 > 学习电脑 > 电脑安全 > 病毒知识 > 冰河木马电脑病毒的相关内容

冰河木马电脑病毒的相关内容

时间: 俭聪 638 分享

冰河木马电脑病毒的相关内容

  冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。该软件主要用于远程监控,自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,记录各种信息,然后私自创建、上传、下载、复制、删除文件或目录。冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。以下是学习啦网小编为大家整理的关于冰河电脑病毒的相关知识,希望对大家有所帮助!

  冰河木马电脑病毒主要用于远程监控,具体功能包括:

  1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);

  2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;

  3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

  4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;

  5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

  6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;

  7.发送信息:以四种常用图标向被控端发送简短信息;

  8.点对点通讯:以聊天室形式同被控端进行在线交谈。

  虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。

  冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。

  清除的相关方法

  1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

  2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

  Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。

  3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。

  4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。

276569