Glacier Trojan의 은밀한 활성화

물론 사용자가 시작할 때마다 서버를 실행하기 위해 트로이 목마 아이콘을 클릭할 것이라고는 기대하지 않습니다. 트로이 목마가 해야 할 두 번째로 중요한 일은 서버가 실행될 때마다 자동으로 서버를 로드하는 방법입니다. 사용자가 시작합니다(첫 번째 중요한 것은 상대방을 트로이 목마로 만드는 방법입니다. 이 부분은 나중에 언급하겠습니다)

Windows에서는 응용 프로그램이 실행될 때 자동으로 응용 프로그램을 로드하는 다양한 방법을 지원합니다. 시스템 시작(거의 트로이 목마를 위한 특수 프로그램과 같습니다.) 사용자 정의) 시작 그룹, win.ini, system.ini, 레지스트리 등은 모두 트로이 목마가 숨기 좋은 장소입니다. Glacier는 여러 가지 방법을 사용하여 사용자가 여기서 벗어날 수 없도록 합니다. 우선 Glacier는 레지스트리의 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 및 RUNSERVICE 키에 \kernl32.exe(시스템 디렉터리)를 추가합니다. 둘째, 이 키를 삭제하면 자랑스러울 것입니다. 차를 마시는 동안 Binghe는 다시 유령처럼 나타났습니다... 무슨 일이 있었던 걸까요? Binghe의 서버가 c:\windows 아래에 sysexplr이라는 파일을 생성한다는 사실이 밝혀졌습니다(Windows 설치 디렉터리에 따라 변경됨).exe 파일(Super와 너무 유사함) Jieba, 매우 유독한 Glacier!) 이 파일은 텍스트 파일과 연결되어 있습니다. 텍스트를 열면(하루에 텍스트를 몇 번이나 열지 않습니까?) sysexplr.exe 파일은 krnel32를 재생성합니다. exe를 실행해도 여전히 Glacier에 의해 제어됩니다. (이것이 Glacier가 오랫동안 가난한 노동자들의 귀중한 시스템 자원을 점유해 온 방법입니다. 555555) 더 새롭고 더 은밀한 방법, 즉 드라이버 및 동적 링크 라이브러리 기술이 등장했습니다(Glacier 3.0에서 이 방법을 채택할까요?).

드라이버 및 동적 링크 라이브러리 기술은 일반 트로이 목마와 다릅니다. 기본적으로 원래의 트로이 목마 모드 수신 포트를 제거하고 시스템 기능을 교체하는 방법(드라이버 또는 동적 링크 라이브러리 다시 작성)을 채택합니다. 결과는 다음과 같습니다. 시스템에 새 파일이 추가되지 않고(따라서 스캔으로 종료될 수 없음) 새 포트를 열 필요가 없으며(따라서 포트 모니터링으로 종료될 수 없음) 새 프로세스가 없습니다. (그래서 사용 중인 프로세스는 확인하여 찾을 수 없으며, 프로세스를 종료하여 실행을 종료할 수 없습니다.) 정상적인 작동 중에는 트로이목마가 거의 증상이 나타나지 않지만 트로이목마의 제어측이 제어측으로 특정 메시지를 보내면 숨겨진 프로그램이 즉시 작동하기 시작하는데...

실제로 여러 가지를 보아왔습니다 이런 유형의 트로이 목마 중 vxd 파일을 다시 작성하여 숨겨진 비밀을 생성하는 트로이 목마가 있습니다... (세상에 새로운 물결이 있을 것입니다) Glacier Trap.

Glacier 트랩에는 두 가지 기능이 있습니다.

1. "Glacier"의 모든 버전을 자동으로 삭제합니다.

2. "Glacier"로 위장하여 침입자를 대상으로 제어합니다. 침입자의 모든 작업을 속이고 기록합니다. 포트 스캐닝은 원격 시스템에 트로이 목마가 있는지 확인하는 가장 좋은 방법입니다. 포트 스캐닝의 원리는 매우 간단합니다. 포트가 열려 있음을 의미합니다. 실패하거나 일정 시간(타임아웃)이 초과되면 포트가 닫힙니다. (포트 스캐닝에 관해서는 Oliver가 "반 연결 스캐닝"에 관한 기사를 게재했는데 이는 매우 흥미롭습니다. 이러한 종류의 스캐닝 원리는 다르지만 이 기사의 범위를 벗어납니다.)

그러나 드라이버/동적 링크 트로이 목마의 경우 포트 검색이 작동하지 않는다는 점을 설명할 가치가 있습니다.

트로이목마 관련 파일을 찾는 것도 흔한 방법이다. (나도 알아, 빙헤의 특징파일은 G_Server.exe 맞지? 바보! 어떻게 이렇게 간단할 수 있지, 빙허는 교활하고 교활하고...) 빙헤의 특징파일 중 하나가 kernl32 이다. .exe(젠장, 윈도우 커널로 위장한거임)이고, 다른 하나는 좀 더 숨겨져 있는 sysexlpr.exe(대체 뭐야, 슈퍼파이터 아니야?) 맞아! Binghe가 이 두 파일에 이러한 이름을 부여한 이유는 이 두 파일이 삭제되는 한 더 이상 자신을 위장하기 위한 것입니다. 다른 트로이 목마도 마찬가지입니다. (말도 안되는 소리, 서버 측 프로그램이 사라졌는데, 또 무엇을 할 수 있나요?)

아무 치료 작업도 하지 않고 sysexlpr.exe만 삭제하면 몇 가지 문제가 발생할 수 있습니다. 단지 앞서 언급한 것처럼 sysexplr.exe가 텍스트 파일과 연결되어 있고 텍스트 파일을 메모장과 연결해야 하기 때문에 텍스트 파일을 열 수 없다는 것뿐입니다.

a. 레지스트리 변경(그것에 대해서는 이야기하지 않겠습니다. 직접 변경할 수 있는 능력이 있으면 알려달라고 하지 마세요. 그렇지 않으면 함부로 다루지 않는 것이 좋습니다.)

b. 내 컴퓨터>-보기-폴더 옵션-파일 형식 편집

c. Shift 키를 누른 채 TXT 파일을 마우스 오른쪽 버튼으로 클릭하고 다음 프로그램으로 열기를 선택한 다음 항상 이 프로그램으로 열기...를 선택합니다. gt;, 그런 다음 메모장을 찾아서 클릭하면 괜찮습니다. (이것이 가장 간단하고 권장됩니다.)

참고로 트로이 목마와 같은 교활한 것들에 주의해야 합니다. Glacier는 txt 파일과 연관되어 있습니다. txt가 열리지 않으면 별 문제가 되지 않습니다. exe 파일과 연결되어 있는데 성급하게 삭제하셨네요... 문제가 생겼네요! regedit도 실행할 수 없습니다! 바이러스 백신 소프트웨어를 마지막에 넣은 이유는 트로이 목마를 죽이도록 설계되었다고 주장하는 일부 소프트웨어를 포함하여 실제로는 많이 사용되지 않기 때문입니다. 그러나 여전히 오래된 트로이 목마 및 트로이 목마를 처리하기는 다소 어렵습니다. (서버 구성 없이) Winsock을 호출하는 모든 프로그램을 모니터링할 수 있고 프로세스를 동적으로 종료할 수 있는 유용한 도구입니다. 향후 10년 안에 트로이 목마", 헤헤, 내년에 무슨 일이 일어날지 알 수 없습니다. 트로이 목마가 10년 안에 얼마나 '진화'할지 누가 알겠습니까? 운영 체제가 어떤 모습일지 상상조차 할 수 없습니다. 10년 후.)

또한 드라이버/동적 링크 라이브러리 트로이 목마의 경우 Windows 시스템 파일 검사기를 사용하거나 시작 메뉴-프로그램-보조 프로그램을 통해 시스템 파일 검사기를 실행하는 방법이 있습니다. -시스템 도구-시스템 정보-도구(너무 상세해서 못찾겠다? 뭐야, 못찾겠어! 피 토해! 98 설치디스크 찾아서 다시 설치) "시스템 파일 검사기"를 이용하세요. 운영 체제 파일의 무결성을 확인하기 위해 검사기는 이를 복원하기 위해 설치 디스크에서 압축 파일(예: 드라이버)을 추출할 수도 있습니다. 드라이버 또는 동적 링크 라이브러리를 업그레이드하지 않고 변경한 경우 트로이 목마(또는 손상)일 수 있습니다. 변경된 파일을 추출하면 시스템의 보안과 안정성을 보장할 수 있습니다. (이 작업은 특정 프로그램을 설치하면 드라이버나 동적 링크 라이브러리가 자동으로 업그레이드될 수 있으므로 시스템에 익숙한 운영자가 완료해야 합니다. 이 경우 손상된 파일을 복원하면 시스템이 충돌하거나 프로그램이 다운될 수 있습니다. 불가능!)

교활한 장(조금만 부주의하면...)

조금만 부주의하면 누군가 트로이 목마를 설치할 수도 있습니다. 트로이 목마를 심는 전술은 자신을 안전하게 지키는 데 도움이 됩니다.

사람들이 인터넷에 트로이 목마를 심는 것을 "돕는" 주요 수법은 다음과 같습니다.

a. 부드러운 속임과 강한 속임수

방법은 다양하며, 그것들과는 아무런 관련이 없습니다. 일부는 가짜 새우이고 일부는 PLMM인 척하고 일부는 겸손한 태도를 취하고 일부는... 어쨌든 목적은 동일합니다. 즉, 트로이 목마 서버를 실행하게 하는 것입니다.

b. 조립 및 합성 방법

소위 221(Two To One)은 합법적인 프로그램을 트로이목마에 묶어두는데, 법률적인 프로그램의 기능에는 영향을 미치지 않습니다. 합법적인 프로그램을 실행하면 트로이 목마가 자동으로 로드됩니다. 동시에 바인딩 후 프로그램의 코드가 변경되었기 때문에 바이러스 백신 소프트웨어가 서명을 기반으로 검색하여 찾기가 어렵습니다.

c. 이름 변경 방법

이 방법은 비교적 늦게 등장하여 속기 쉽습니다. 구체적인 방법은 실행 파일을 그림이나 텍스트로 위장하는 것입니다. 프로그램의 아이콘을 Windows의 기본 그림 아이콘으로 변경한 다음 파일 이름을 *.jpg *.exe로 변경합니다. Win98의 기본 설정은 이기 때문입니다. 표시하지 않음 파일 확장자를 모르면 *.jpg 파일로 표시됩니다. 주의하지 않으면 이 아이콘을 클릭하면 트로이 목마가 나옵니다. 프로그램에 사진 삽입)

d. 자발적인 후크 방법

트로이 목마의 소유자는 사용자의 클릭을 유도하기 위해 웹 페이지에 악성 코드를 배치합니다. 클릭은 자명합니다. 문을 열고 도둑을 강탈하세요. 조언: 웹페이지의 링크를 이해하고 신뢰하며 기꺼이 목숨을 걸고 하지 않는 한 클릭하지 마세요...

몇 가지 메모(일부 진부한 표현)

a. 임의의 웹사이트에서 소프트웨어를 다운로드하지 말고, 더 유명하고 평판이 좋은 사이트에서 다운로드하십시오. 이러한 사이트에는 일반적으로 전담 바이러스 백신 직원이 있습니다.

b. 남을 너무 믿지 말고, 남이 준 소프트웨어를 함부로 실행하지 마세요;

(특히 아는 사람이 있다면 아는 사람이 있다고 해서 안전하다고 생각하지 마세요. 당신이 아는 사람들이 당신을 위해 트로이 목마를 설치할 것입니다. 하하, 불화의 씨앗이 됩니다... ....)

c. 시스템 파일, 레지스트리, 포트 등을 자주 확인하고 보안 사이트에 자주 가서 최신 트로이 목마 공지를 확인하세요.

d. 파일 접미사 숨기기에 대한 Windows의 기본 설정을 변경하세요(파일만 볼 수 있습니다). 접미사 이름만 있으면 안심하고 클릭할 수 있습니다. 말할 필요도 없이 Glacier 2.2의 최신 버전은 모두가 알고 있을 것입니다. 또한 작동 인터페이스가 명확하고 간결하며 제어 기능도 매우 뛰어납니다! 강력합니다.이 기능을 원격 제어 관리에 사용하면 매우 이상적인 소프트웨어가 될 것입니다. 그러나 다른 사람이 해커 트로이 목마로 사용하면 실제로는 BO2000, NETSPY보다 더 나쁠 것입니다. 해커 트로이 목마는 서버 측 프로그램에 숨기기, 자체 복사 보호, 비밀번호 및 계정 도용 등의 기능이 있기 때문에 그다지 많지 않습니다. 이는 일반 소프트웨어가 설정해야 하는 기능도 아닙니다. 서버 측 프로그램이 온라인 상태가 되면 자동으로 컴퓨터의 현재 IP를 이메일을 통해 클라이언트에 보냅니다. 파일 복사, 삭제, 프로세스 종료, 강제 종료 등은 말할 것도 없습니다. 키보드 추적, 마우스 잠금 등

그래서 저는 Glacier 서버 차단을 해제하는 방법을 소개하려고 왔습니다. 이제 더 이상 다른 사람이 귀하의 컴퓨터를 제어할 걱정을 하지 않아도 됩니다!

그렇다면 빙하를 어떻게 예방하고 제거할 수 있을까요?

우선 출처를 알 수 없는 소프트웨어 프로그램을 실행하지 마십시오. 이것은 아무리 영리하고 강력한 해커 프로그램이라도 침입 목적을 달성하려면 시스템 취약점을 악용해야 한다는 사실입니다. 서버가 없는 경우 클라이언트에서 트로이 목마 프로그램을 실행하면 클라이언트 프로그램을 제어하는 ​​해커가 성공할 수 없습니다. 둘째, 전화 접속 인터넷 접속을 위한 비밀번호를 저장하지 않는 등 좋은 컴퓨터 사용 습관을 길러야 합니다. !

Glacier Hacking Software의 공격 메커니즘을 이해한다면 두려울 것이 없습니다.

Glacier에 감염되면 다음 방법을 사용하여 컴퓨터에서 이를 제거할 수 있습니다:

1. 레지스트리 시작 그룹을 확인합니다. start --gt run --gt, 값: HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Run 및 HKEY_LOCAL_MACHINE\Sogtware\Microsoft\Windows\CurrentVersion\RunServer.KERNEL32.EXE의 실행 항목을 찾아 두 개의 키 값이 있으면 삭제하면 됩니다. Glacier는 서버 파일 이름, 포트 번호, 비밀번호 등과 같은 서버 프로그램의 매개 변수를 자유롭게 구성할 수 있습니다. 따라서 서버 측 프로그램은 KERNEL32.EXE에 국한되지 않고 어떤 이름도 가질 수 있으므로 여기서는 정확하게 찾으려면 특정 Windows 지식이 필요합니다. 의심스러운 시작 파일이 있는지 확실하지 않은 경우 다른 컴퓨터와 비교해 보세요.

2. "Glacier" 관련 파일을 삭제하세요. 위의 파일 이름에 따라 의심스러운 파일을 찾을 수 있습니다. .KERNEL32.EXE 및 sysexplr.exe를 삭제하거나 새 이름으로 변경합니다. 기본적으로 \Windows\sytem 디렉터리에 있지만 그럴 수도 있습니다. 구성에 따라 \Windows 또는 \Temp 디렉토리에 저장됩니다.

3 "Glacier"의 자체 보호 조치는 레지스트리의 파일 연결 항목을 사용하여 자체적으로 복사할 수 있습니다. 위 작업을 완료한 후 "Glacier"가 없는 것처럼 보이지만 더 이상 존재하지 않지만 해당 파일(예: *.TXT, *EXE)을 클릭하여 열면 "Glacier"가 나타납니다. 부활했다! 따라서 근본 원인을 제거하기 위해서는 위의 1.2 단계를 기반으로 의심스러운 파일 이름을 단서로 사용하여 레지스트리를 종합적으로 검사하고 의심스러운 키 값을 하나씩 삭제해야 합니다.

4. 위의 수술 이유 시스템의 핵심인 레지스트리에 대한 수술이 필요합니다. 실제로 가장 간단하고 효과적인 방법은 하드 드라이브를 포맷하고 다시 설치하는 것입니다. 물론, 이를 위해서는 일정 시간을 투자해야 합니다!

다음은 위 방법을 보완한 새로운 글입니다:

1. 위 방법에 따라 빙허를 죽인 후 HKEY_CLASS_ROOT\txtfile\shell\open\도 확인해야 합니다. 레지스트리에서 키 값 C:\WINDOWS\NOTEPAD.EXE1을 수정하고 C:\WINDOWS\SYSTEM\EXE1로 변경합니다. 그렇지 않으면 텍스트 파일을 열 수 없습니다. '프로그램을 찾을 수 없습니다' 팁을 볼 수 있습니다.

둘째, 위에서 소개한 트로이목마 퇴치 방법은 클라이언트 구성에만 해당됩니다. 클라이언트가 서버 프로그램 구성 시 파일명을 변경하면 대다수의 네티즌들은 구체적인 해결책은 먼저 C:\WINDOWS\SYSTEM\CY.EXE1과 같은 레지스트리에서 HKEY_CLASS_TOOT\txtfile\shell\poen\command의 키 값을 확인하는 것입니다. 다른 파일 이름 및 경로도 가능) CY.EXE를 기록하고 레지스트리에서 HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run 및 HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunServer의 키 값을 확인하세요. CY.EXE가 있으면 기본적으로 Glacier Trojan으로 판단하는데, 파일의 바이트 수(Glacier Trojan 2.0 버전은 495,733바이트)를 확인하고 위의 두 키 값을 삭제하는 것이 가장 좋습니다. ​​​​C:\WINDOWS\SYSTEM\CY.EXE(

WIN98에서는 삭제할 수 없습니다. 레지스트리를 수정하기 전에 클라이언트가 여러 세트를 제공하지 않도록 CY.EXE 바이트와 동일한 파일에 주의를 기울여야 합니다. Glacier 트로이 목마가 구성되었습니다.