为盗号 “小牛”偷连80端口
网络安全
病毒名称:Win32.Troj.KillAV.61952
中文名称:小牛远控木马
病毒类型:控制病毒
病毒目的:试图盗取用户的账号和密码
随着2009版杀毒软件的陆续发布,一些能与之叫板的病毒也相继出现了。最近,小编就收到很多2009版杀毒软件被禁用、账号被盗的求救信,它们中的大多数都是与小牛病毒相关。小编下载了该病毒的样本,仔细研究后,发现它可以禁用多种2009版的杀毒软件。如果电脑不幸中了该病毒的话,会出现以下症状:
1.杀毒软件主动防御功能失效。
2.各种账号和密码被盗。
3.系统中出现一个“微软”的编码文件Mpeg4c32.dll。
4.任务管理器中出现cmd.exe进程。
5.系统进程svchost.exe连接了80端口。
如果你的电脑出现了以上症状,那么就要及时清除该病毒,清除方法如下:
第一步:首先运行《金山清理专家》(下载地址:http://www.shudoo.com/bzsoft),打开百宝箱中的“进程管理器”。点击列表窗口中的“找出存在风险的进程”,这时程序会对进程扫描。扫描完成后,告诉用户在svchost.exe进程中,有一个标注为“可疑的”的Mpeg4c32.dll模块。然后点击“结束选中进程”按钮,结束被病毒利用的系统进程(图1)。
第二步:接着打开百宝箱中的“文件粉碎器”,点击窗口中的“添加文件”按钮。然后在系统system32目录里面,选择木马的主文件Mpeg4c32.dll,最后点击“彻底粉碎”按钮即可删除木马主文件(图2)。
第三步:最后打开系统的注册表编辑器,点击“编辑”菜单中的“查找”按钮,在弹出的窗口中输入Mpeg4c32.dll进行搜索(图3)。当搜索到相应的结果后,选中它们点击右键选择菜单中的“删除”命令,就可以清除病毒的所有启动项(图4)。
第四步:最后重新安装杀毒软件(例如《金山毒霸》,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。
听小编聊毒
话题:木马为什么要连接80端口?
难度:★★
现在越来越多的木马程序,都会连接远程的80端口。之所以要这样做,是为了避免用户在检测系统时,发现系统开启了陌生的端口,提高木马的隐蔽性。80端口是HTTP协议使用的端口,通过它浏览器就可以完成网页显示等基本操作,该端口通信,一般人都不会怀疑。
正是这样的原因,黑客把病毒的数据伪装成HTTP协议的数据,这样就可以“瞒天过海”了,而这种技术就被称为“HTTP隧道技术”。简单地说,“HTTP隧道技术”就是把所有要传送的数据,全部封装到HTTP协议里进行传送。
一般情况下普通的木马只能访问拨号上网的木马服务端以及通过NAT代理上网的局域网的木马服务端。而使用“HTTP隧道技术”以后,木马就可以访问到局域网里通过HTTP、SOCKS4、SOCKS5等代理上网的木马服务端。
用户在命令提示符下使用“netstat -an”命令,检查自己的端口,发现的也是类似“TCP UserIP:3015 ControllerIP:http ESTABLISHED”的情况。稍有疏忽,用户就会以为是自己在浏览网页,而网络防火墙也会这么认为的,再加上反弹连接型木马的服务端会主动连接客户端,这样就可以轻易地突破防火墙的限制。