IRC Trojan的发现和清除

　　杀毒软件、反木马软件、防间谍软件等都可以对IRC Trojan进行查杀，当然这要取决于相应产品的特征库中是否有相关的特征定义，所以使用这些软件不能解决所有的问题。有时可能需要手工进行IRC Trojan的查杀工作。下面就简单介绍一些通用的查杀IRC Trojan的思路和方法。

　　如何发现

　　查IRC Trojan的方法与查一般的病毒、蠕虫、恶意软件的方法差不多。实际上，在真正确认它是一个IRC Trojan之前，能做的事情与查一般的病毒蠕虫是一样的。

　　对于普通用户，通过定期使用杀毒软件、反木马软件、防间谍软件等软件进行检查可以发现一部分的IRC Trojan，另外，这些软件一般都具有实时保护功能，通过实时保护功能可以在第一时间发现一部分的IRC Trojan。实际上，仍有一部分新的IRC Trojan或变体会逃过这些软件。所以除了借助软件，用户还要保持警觉，学会一些其它的判断方法。

1.观察进程运行情况，看是否存在未知的进程：如果发现机器上有一个名为rtos.exe的进程在运行的话，那么非常有可能是感染了某种类型的IRC Trojan。 　　2.观察机器的端口开放和连接情况，看是否存在异常的端口和连接。 　　3.留心系统配置文件的变化，比如：Windows的注册表、Unix的/etc目录下的配置文件等。 　　4.留心系统的资源使用情况，看是否有原因不明的繁忙情况出现。 　　5.留心系统中的一些服务是否存在被关闭或运行不稳定等异常情况。 　　6.留心与IRC服务及客户端相关的异常。 　　清除IRC Trojan 　　在确定了感染了IRC Trojan之后，最好的方法是根据其工作原理，手工进行清除。但是这种方法难度和工作量都比较大，所以可以先借助杀毒软件、反木马软件、防间谍软件等软件进行清除。不过不幸的是不是所有的IRC Trojan都能用软件来消除，当软件还没有相关的支持时，就只能通过手工来进行清除。在清除某个IRC Trojan，就必需了解其大致的工作原理，下面举一个例子说明。 　　W32/Rbot-AGG是2005年6月出现的一种Windows平台下的IRC Trojan。其工作原理为：W32/Rbot-AGG首先尝试利用Windows管理员弱口令(比如：密码为空或是几位数字)连接网络共享，如果成功，它将自身复制到共享目录中并运行。W32/Rbot-AGG在第一次运行是会将自己复制到Windows系统目录中命名为winsound.exe，然后修改注册表使winsound.exe在每次启动时自动运行，同时它也会修改Windows的安全配置，降低系统的安全性，开放匿名网络共享以便进行传播。winsound.exe在后台运行，提供后门服务器，允许攻击者通过IRC频道取到对受感染主机的访问和控制。它也可以进行记录键盘、窃取信息、从Internet下载代码等操作。 　　在了解运行原理后，我们就可以手工清除了。 　　1. 搜索winsound.exe文件，并删除； 　　2. 删除相关注册表，比如启动项等； 　　3. 恢复Windows的安全配置，或重新设置； 　　4. 给Windows管理员设置强壮的密码，切断传播途径，以免再次感染。 　　IRC Trojan的防范 　　通过前面对几种IRC Trojan的分析，针对IRC Trojan传播方式、运行机制，笔者提出以下几点防范建议以供大家参考： 　　1. 及时修补Windows的漏洞，以免被IRC Trojan所利用； 　　2. 对于Windows系统、SQL数据库等使用强密码机制，以免被IRC Trojan所利用； 　　3. 备份和保护注册表，可用于IRC Trojan的清除； 　　4. 安装个人防火墙，通过防火墙进行端口过滤，只允许必要的端口流量； 　　5. 安装杀毒软件、反木马软件、防间谍软件等软件，并及时升级； 　　6. 不要运行来历不明的软件，比如：从网上下载的软件、不明来源的邮件附件等； 　　随着现在网络用户的爆炸性增长，IRC Trojan已经成为发动大规模DDoS攻击的重要工具，大量攻击事件的出现必将影响到网络的健康发展，所以每一位网络用户都有责任尽自己的努力来保障自己主机的安全，这也是一种与己与人都有好处的事。

上一页  [1] [2]