四、木马服务端的加壳保护
KV2004等杀毒软件(最新的病毒库)很容易发现、查杀以上木马,为了逃避杀毒软件的查杀,你可以使用压缩软件对木马服务端进行加壳保护,目前加壳的软件有很多,例如ASPack、ASProtect、UPXShell、Petite等。下面我们就以ASPack(下载地址http://www.fz20.com/down.asp?id=3465&no=2)为例,介绍给木马加壳的方法:
启动ASPack(如上图6),点击“open(打开)”按钮,选择要加壳的木马服务端程序,ASPack就会自动进行加壳。加壳完成后,杀毒软件就不能查杀该木马了。假如杀毒软件依旧可以查杀,你可以使用其他压缩软件(例如ASProtect)对服务端再次加壳,这样处理之后,杀毒软件一般不可能再查杀原来的木马了。
图 6
五、灰鸽子的手工清除
机器里中了灰鸽子之后,如果是WinMe/9x系统,木马会修改注册表自启动项,手工清除方法:首先要禁止它开机自动运行,点开始/运行,输入msconfig点确定,在系统配置实用程序中选“启动项”,然后把SVCHOST前面的勾去掉,点确定后退出;接下来在运行中输regedit 进入注册表,查找SVCHOST(注意是大写的),删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg,关机重启;最后运行TcpView,检查你的2513端口是否开着。
如果是WinXP/2000系统,木马会启动灰鸽子服务(服务名称默认为Hgz_Server,可以是其他名称),因此删除该木马,首先要关闭这个服务,单击“开始”/设置/控制面板,双击“管理工具”/服务,禁止该服务;然后在该服务“属性”中查出对应的执行文件位置,删除执行文件即可。
