教大家防木馬的辦法，只針對網(wǎng)頁木馬，有效率90%以上?？梢苑乐?0%以上木馬在你的機(jī)器上被執(zhí)行，甚至殺毒軟件發(fā)現(xiàn)不了的木馬都可以禁止執(zhí)行，先說一下原理。 

現(xiàn)在網(wǎng)頁木馬無非有以下幾種方式中到你的機(jī)器里： 

1、把木馬文件改成BMP文件，然后配合你機(jī)器里的DEBUG來還原成EXE，網(wǎng)上存在該木馬20% ； 

2、下載一個TXT文件到你機(jī)器，然后里面有具體的FTP連接，F(xiàn)TP連上他們有木馬的機(jī)器下載木馬，網(wǎng)上存在該木馬20%； 

3、也是最常用的方式，下載一個HTA文件，然后用網(wǎng)頁控件解釋器來還原木馬，該木馬在網(wǎng)上存在50%以上； 

4、采用JS腳本，用VBS腳本來執(zhí)行木馬文件，該型木馬偷QQ的比較多，偷傳奇的少，大概占10%左右； 

5、其他方式未知。 

現(xiàn)在我們來說防范的方法，就是把 windows\system\mshta.exe文件改名，改成什么自己決定 (注意Windows2000和WindowsXp是在system32下)。 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下為Active Setup controls創(chuàng)建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新鍵值下創(chuàng)建一個REG_DWORD 類型的鍵Compatibility，并設(shè)定鍵值為0x00000400即可。 

還有windows\command\debug.exe和windows\ftp.exe都給改個名字 (或者刪除) 。 

一些最新流行的木馬最有效果的防御 

比如網(wǎng)絡(luò)上流行的木馬 smss.exe，這個是其中一種木馬的主體，潛伏在 Windows98/WindowsMe/
WindowsXp的c:\windows目錄下，Windows2000的c:\winnt目錄下。 

假如你中了這個木馬，首先我們用進(jìn)程管理器結(jié)束正在運(yùn)行的木馬smss.exe,，然后在c:\windows 或 c:\winnt\目錄下創(chuàng)建一個smss.exe，并設(shè)置為只讀屬性（2000/XP NTFS的磁盤格式的話那就更好，可以用“安全設(shè)置”設(shè)置為讀?。?。這樣木馬沒了，以后也不會再感染了。這個辦法本人測試過對很多木馬，都很有效果。 

經(jīng)過這樣的修改后，我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測試。實驗結(jié)果是上了大概20個木馬網(wǎng)站，有大概15個瑞星會報警，另外5個瑞星沒有反映。而我的機(jī)器沒有添加出來新的EXE文件，也沒有新的進(jìn)程出現(xiàn)。只不過有些木馬的殘骸留在了IE的臨時文件夾里，他們沒有被執(zhí)行起來，沒有危險性，所以建議大家經(jīng)常清理臨時文件夾和IE。

最新評論