教你手工查殺免殺的捆綁木馬

　木馬為了達到隱藏傳播的目的， 一般會和一個正常的軟件捆綁在一起， 別人下載回來， 運行了正常的軟件， 后臺同時也運行了捆綁在一起的木馬， 成為了他人肉雞， 自己的電腦就會任人宰割， 密碼被盜、文件丟失或出現(xiàn)其他的問題等等。

　　1、什么是捆綁的木馬文件？

　　捆綁的木馬文件就是將兩個或兩個以上的文件合成為一個文件， 并能使兩個或兩個以上的文件同時正常運行的。 但是我們只能看到其中一個文件運行狀態(tài)和使用， 其他的木馬文件全部后臺運行。

　　2、那么我們怎樣來防范和發(fā)現(xiàn)并消滅木馬呢？

　　一、靠殺毒軟件；二、手工檢測；三、其他方法。

　　雖然木馬和捆綁好的文件， 一般情況下， 會被殺毒軟件發(fā)現(xiàn)的， 但是光靠殺毒軟件是不可靠的， 目前網上有不少朋友都能做出免殺木馬和免殺的捆綁軟件， 逃過殺毒軟件追殺， 使木馬安逸的住在肉雞的電腦里， 為主人隨時登入肉雞的電腦做好準備。

　　手工檢測和查獲免殺的捆綁木馬－－－

　　使用工具：木馬輔助查找器2006.exe

　　測試工具：1、免殺萬能捆綁器.exe或憾天雷文件合并器.exe、撼天雷免殺捆綁機3.2.exe

　　2、灰鴿子 VIP1.2撼天雷免殺版的灰鴿子服務端一個

　　A、先自己制造個捆綁文件：正常文件.exe + 灰鴿子服務端(stup.exe)=捆綁文件.exe

　　B、運行“木馬輔助查找器2006.exe”， 選“其他工具”， 找到“文件監(jiān)視器”， 軟件默認是“監(jiān)視目錄C:/       ”， 點“開始監(jiān)視”， 準備工作OK

　　C、運行“捆綁文件.exe”， 這時我們可以看到“監(jiān)視結果”中的提示

　　新建 C:\WINDOWS\System32\HTL_Server.exe

　　修改 C:\WINDOWS\System32\HTL_Server.exe

　　新建 C:\WINDOWS\System32\Deleteme.bat

　　修改 C:\WINDOWS\System32\Deleteme.bat

　　刪除 C:\Documents and Settings\Administrator\桌面\灰鴿子 VIP1.2撼天雷版\服務端程序.exe

　　刪除 C:\WINDOWS\System32\Deleteme.bat

　　修改 C:\Documents and Settings\Administrator\Local Settings\Temporary InternetFiles\Content.IE5\index.dat

　　修改 C:\Documents and Settings\Administrator\Cookies\index.dat

　　修改 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat

　　這二條提示， 就是后臺運行的灰鴿子服務端后門

　　新建 C:\WINDOWS\System32\HTL_Server.exe

　　修改 C:\WINDOWS\System32\HTL_Server.exe

　　D、我們重啟電腦， 按F8進入“安全模式”， 在“C:\WINDOWS\System32\”目錄下， 找到“HTL_Server.exe”文件， 刪除就OK了

　　這只是一個例子， 大家自己何不自己試試， 呵呵