深入分析最新木马──“广外女生” 撒旦侍者 2001年 37期 编者按:目前互联网上不安全的因素越来越多,新型的木马也是层出不穷,“广外女生”就是一个典型的例子,机器感染它后,会自动终止一些杀毒软件和防火墙的进程(很会保护自己),这也应该算是它出道不久就声名鹊起的主要原因。但只要我们了解它,对付这种木马,应该是轻而易举的。   软件类型:远程控制软件   软件版本:广外女生1.5Alpha   运行环境:Win98/SE/ME/NT/2000或安装Winsock2.0的Win95/97   特点:   1.使用了exe文件关联(不可更改!),给删除带来一定难度。   2.可配置内容较多,较易隐藏。   包括:保护密码、端口、exe文件名、注册表自启动项名称、错误提示、图标、防火墙处理等等。   言归正转,还是说说具体特点及查杀方法吧。   控制端文件:文件为gwg.exe,大小为409KB。具有服务端配置及生成的功能,也带了端口扫描功能。   服务端文件:文件为GDUFS.exe,大小为116KB。   注:文件名可改。   服务端文件图标:flash文件(.swf)。   注:图标可改。   服务端运行后生成文件:   C:\WINDOWS\SYSTEM\Diagcfg.exe(大小为98KB)图标为服务端文件图标。   注:文件名可改,但路径不可改!   C:\WINDOWS\SYSTEM\Msiesmtp.dll(大小为18KB)图标为dll文件默认图标。    注:文件名可改,但路径不可改!   通讯端口:6267。   注:可更改   注册表项目一:HKEY_LOCAL_MAC   HINE\Software\CLASSES\exefile\shell\open\command\键名默认键值:“C:\WINDOWS\SYSTEM\DIAGCFG.EXE “%1” %*”,应该改为““%1” %*”   作用:与exe文件产生关联(其中DIAGCFG.EXE为服务端解包后生成文件的文件名,可更改)。   注册表项目二:HEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices/键名:Diagnostic Configuration键值:“C:\WINDOWS\SYSTEM\DIAGCFG.EXE”,应删去。   作用:启动时自动加载服务端(其中DIAGCFG.EXE为服务端解包后生成文件的文件名,可更改)。   手动查杀方法   1.检查注册表项目一中键值是否被改动,若改动就意味着你中木马了,键值中的文件就是木马。   2.若你在网上请立即下线。   3.由于改变了exe文件关联,所以不能直接删除DIAGCFG.EXE。   4.若你有能终止进程的工具,那么:   1)运行注册表编辑器。   2)终止木马的进程。   3)把注册表改回来。   4)删除木马文件本体。   若你没有能终止进程的工具,那么(Win 2000系统不适用这个文件):   1)新建一个文本文档,内容如下:   REGEDIT4   (一定要空行,注册表的格式)   [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]@=“\”%1\“ %*”   并另存为“恢复文件关联.reg”,注意扩展名为reg.然后双击导入。   2)重启,进入MS-DOS,删除木马文件本体。   3)把注册表改回来。