如何清除Radmin木馬

字號(hào):

網(wǎng)絡(luò)安全不可忽視,一不小心就讓你中招。最近Radmin木馬就在網(wǎng)絡(luò)上瘋狂流竄作案。如果大家通過(guò)清理注冊(cè)表啟動(dòng)項(xiàng)的方法去對(duì)付它的話,是不能夠成功清除的。因?yàn)镽admin通過(guò)服務(wù)項(xiàng)啟動(dòng),并且極具隱蔽性。大家要是對(duì)系統(tǒng)服務(wù)不熟悉,還真拿它沒(méi)有辦法。但是再狡猾的狐貍也逃不脫獵人的眼睛。下面我們就來(lái)看看來(lái)自湖南的掃黑尖兵小舟是如何清除狡猾的Radmin木馬的。
    情況描述
    電腦的鼠標(biāo)指針無(wú)故滑動(dòng),像是被別人在操作。并且電腦里多了一些軟件程序,其中居然還有寬帶賬號(hào)查看器。電腦也有時(shí)自動(dòng)重啟或則關(guān)閉。月底去電信營(yíng)業(yè)廳繳上網(wǎng)費(fèi),發(fā)現(xiàn)莫名多出了使用互聯(lián)星空進(jìn)行網(wǎng)上消費(fèi)的賬單,可是我并沒(méi)有通過(guò)電信的互聯(lián)星空購(gòu)買(mǎi)任何東西呀。
    揪出幕后黑手
    根據(jù)這些情況,我第一感覺(jué)就是中了灰鴿子木馬。誰(shuí)叫灰鴿子 “臭名遠(yuǎn)揚(yáng)”呢?于是馬上升級(jí)殺毒軟件,對(duì)系統(tǒng)進(jìn)行全面掃描。但是在漫長(zhǎng)的查殺過(guò)程中一無(wú)所獲。于是我又按照《電腦報(bào)》掃黑尖兵所介紹的方法來(lái)手工絞殺灰鴿子,但是發(fā)現(xiàn)并沒(méi)有中灰鴿子木馬。
    真不甘心,我難道還搞不定一個(gè)小“馬”?我不氣餒,仔細(xì)地排查系統(tǒng)進(jìn)程,發(fā)現(xiàn)了一個(gè)可疑進(jìn)程r_server.exe,發(fā)現(xiàn)該進(jìn)程占用的內(nèi)存不大,但是電腦在出現(xiàn)我所描述的故障時(shí),便一下子增大了,可見(jiàn)是一個(gè)后門(mén)程序。馬上結(jié)束它,并且打開(kāi)注冊(cè)表在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的位置尋找可疑的加載值。
    但是讓我失望的是并沒(méi)有r_server.exe加載的值,難道它使用什么最新的高技術(shù)?一下子我的思路全斷了。于是我又打開(kāi)“命令提示符”輸入“netstat –an”來(lái)查看計(jì)算機(jī)的所有連接與端口使用的情況,我查到一個(gè)被非法占用的4899端口,并且看到了遠(yuǎn)程控制我的IP地址。這下露出馬腳了。
    掃除Radmin害人“馬”
    根據(jù)種種跡象,在網(wǎng)上查看,我猜測(cè)我中的是Radmin木馬。Radmin木馬的默認(rèn)端口就是4899,并且Radmin不同于普通的木馬使用run加載值,而且該木馬以前被殺毒軟件認(rèn)為是“良民”的,因?yàn)樗脑甲饔檬菐椭W(wǎng)管進(jìn)行遠(yuǎn)程操作的。但是被黑客濫用于非法對(duì)別人入侵后,殺毒軟件也不得不對(duì)它“痛下殺手”了。
    我打開(kāi)注冊(cè)表編輯器,用木馬進(jìn)程名r_server.exe作為關(guān)鍵字進(jìn)行掃描,很快便搜索到相關(guān)的鍵值,我在無(wú)意中的點(diǎn)擊中打開(kāi)了“Display Name”鍵值的修改項(xiàng),發(fā)現(xiàn)數(shù)值數(shù)據(jù)為“Remote Administrator Service”,這應(yīng)該就是Radmin啟動(dòng)的服務(wù)名稱(chēng)了,因?yàn)镈isplay Name的作用是在服務(wù)列表中顯示的名稱(chēng)。
    到這里我已經(jīng)清楚Radmin木馬的工作方式了,它并不是通過(guò)run鍵值來(lái)加載的,而是通過(guò)“服務(wù)”來(lái)加載的。知道工作方式就好處理了。我打開(kāi)服務(wù)項(xiàng),依次進(jìn)入“控制面板→管理工具→服務(wù)”,將Remote Administrator Service服務(wù)禁用掉,這時(shí)我又發(fā)現(xiàn)Radmin鍵值下的Image Path值下有木馬程序的目錄,通過(guò)目錄將木馬主程序及一些DLL文件刪除掉,再將Radmin主鍵值刪除,Radmin就這樣被驅(qū)除了。
    從這個(gè)事例,我們可以看到入侵者在小舟的電腦上種上木馬后,盜取小舟的寬帶賬號(hào)并通過(guò)互聯(lián)星空進(jìn)行消費(fèi),這是相當(dāng)卑鄙的,同時(shí)這也是犯罪!阿良在這里提醒大家,如果沒(méi)有使用互聯(lián)星空服務(wù)的需求,去營(yíng)業(yè)廳關(guān)閉網(wǎng)上購(gòu)物的功能,以防有所損失。
    Radmin木馬采用大家都容易忽視的服務(wù)方式啟動(dòng)木馬,增加了大家掃黑的困難。不過(guò)還是那句話,再狡猾的狐貍也逃不過(guò)獵人的眼睛。只要是木馬,一般都會(huì)占用系統(tǒng)的端口,只要我們發(fā)現(xiàn)了被非法占用端口,然后順藤摸瓜,就能找到清除木馬的方法。
    最后提示大家,關(guān)閉不需要的服務(wù)不但可以讓系統(tǒng)性能提高,也可以在一定程度上增加系統(tǒng)的安全系數(shù)。如果大家對(duì)系統(tǒng)需要的服務(wù)不熟悉,可以借助超級(jí)兔子優(yōu)化軟件,在它的啟動(dòng)優(yōu)化中可以對(duì)系統(tǒng)啟動(dòng)的服務(wù)進(jìn)行設(shè)置。千萬(wàn)不可自己隨意關(guān)閉服務(wù),不然有可能導(dǎo)致系統(tǒng)崩潰。