内容发布更新时间 : 2024/5/18 5:27:15星期一 下面是文章的全部内容请认真阅读。

网络公牛(Netbull)

网络公牛是国产木马，默认连接端口23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C：WINDOWSSYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件：

win2000下：notepad.exe;regedit.exe，reged32.exe;drwtsn32.exe;winmine.exe。

服务端运行后还会捆绑在开机时自动运行的第三方软件(如：realplay.exe、QQ、ICQ等)上，在注册表中网络公牛也悄悄地扎下了根。

网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。这样做也有个缺点：容易暴露自己!只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

清除方法：

1.删除网络公牛的自启动程序C：WINDOWSSYSTEMCheckDll.exe。

2.把网络公牛在注册表中所建立的键值全部删除。

3.检查上面列出的文件，如果发现文件长度发生变化(大约增加了40K左右，可以通过与其它机子上的正常文件比较而知)，就删除它们!然后点击开始;附件;系统工具;系统信息;工具;系统文件检查器，在弹出的对话框中选中从安装软盘提取一个文件(E)，在框中填入要提取的文件(前面你删除的文件)，点确定按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。

Netspy(网络精灵)

Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了。服务端程序被执行后，会在C：Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersion Run下建立键值Cwindowssystemnetspy.exe，用于在系统启动时自动加载运行。

清除方法：

1.重新启动机器并在出现Staringwindows提示时，按F5键进入命令行状态。在C：windowssystem目录下输入以下命令：del netspy.exe;

2.进入HKEY_LOCAL_MACHINE

SoftwaremicrosoftwindowsCurrentVersionRun，删除Netspy的键值即可安全清除Netspy。

SubSeven

SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k，很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此很难查。

清除方法：

1.打开注册表Regedit，点击至： HKEY_LOCAL_MACHINESOFTWARE

MicrosoftWindowsCurrentVersionRun和RunService下，如果有加载文件，就删除右边的项目：加载器=c：windowssystem***。注：加载器和文件名是随意改变的。

2.打开win.ini文件，检查run=后有没有加上某个可执行文件名，如有则删除之。

3.打开system.ini文件，检查shell=explorer.exe后有没有跟某个文件，如有将它删除。

4.重新启动Windows，删除相对应的木马程序，一般在c：windowssystem下，在我在本机上做实验时发现该文件名为vqpbk.exe。

冰河

我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C：Windowssystem目录下生成Kernel32.exe和sy***plr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sy***plr.exe就会被激活，它将再次生成Kernel32.exe。

清除方法：

1.删除C：Windowssystem下的Kernel32.exe和Sy***plr.exe文件;

2.冰河会在注册表HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下扎根，键值为C：windowssystemKernel32.exe，删除它; 3.在注册表的HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices下，还有键值为C：

windowssystemKernel32.exe的，也要删除;

4.最后，改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值，由表中木马后的C：windowssystemSy***plr.exe%1改为正常的C：windowsnotepad.exe %1，即可恢复TXT文件关联功能。

网络神偷(Nethief)

网络神偷是个反弹端口型木马。什么叫反弹端口型木马呢?与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP 服务端的IP地址：1026 客户端的IP地址：80ESTABLISHED的情况，稍微疏忽一点你就会以为是自己在浏览网页。

清除方法： 1.网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值internet，其值为internet.exe/s，将键值删除;

2.删除其自启动程序C：WINDOWSSYSTEMINTERNET.EXE。

广外女生

广外女生是是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有金山毒霸、天网等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用!

清除方法：

1.启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它;

2.我们找到Windows目录中的注册表编辑器Regedit.exe，将它改名为Regedit.com;

3.回到Windows模式下，运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);

4.找到HKEY_CLASSES_ROOTexefileshellopencommand，将其默认键值改成%1 %*;

5.删除注册表中名称为Diagnostic Configuration的键值;

6.关掉注册表编辑器，回到Windows目录，将Regedit.com改回Regedit.exe。