冰河木馬電腦病毒的相關(guān)內(nèi)容

冰河木馬電腦病毒的相關(guān)內(nèi)容

　　冰河是最有名的木馬了，就連剛接觸電腦的用戶也聽說過它。該軟件主要用于遠(yuǎn)程監(jiān)控，自動跟蹤目標(biāo)機(jī)屏幕變化，同時可以完全模擬鍵盤及鼠標(biāo)輸入，記錄各種信息，然后私自創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄。冰河的服務(wù)器端程序為G-server.exe，客戶端程序為G-client.exe，默認(rèn)連接端口為7626。以下是學(xué)習(xí)啦網(wǎng)小編為大家整理的關(guān)于冰河電腦病毒的相關(guān)知識，希望對大家有所幫助!

　　冰河木馬電腦病毒主要用于遠(yuǎn)程監(jiān)控，具體功能包括:

　　1.自動跟蹤目標(biāo)機(jī)屏幕變化，同時可以完全模擬鍵盤及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用);

　　2.記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息;

　　3.獲取系統(tǒng)信息：包括計算機(jī)名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù);

　　4.限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制;

　　5.遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能;

　　6.注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能;

　　7.發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息;

　　8.點(diǎn)對點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。

　　雖然許多殺毒軟件可以查殺它，但國內(nèi)仍有幾十萬中冰河的電腦存在!作為木馬，冰河創(chuàng)造了最多人使用、最多人中彈的奇跡!現(xiàn)在網(wǎng)上又出現(xiàn)了許多的冰河變種程序，我們這里介紹的是其標(biāo)準(zhǔn)版，掌握了如何清除標(biāo)準(zhǔn)版，再來對付變種冰河就很容易了。

　　冰河的服務(wù)器端程序為G-server.exe，客戶端程序為G-client.exe，默認(rèn)連接端口為7626。一旦運(yùn)行G-server，那么該程序就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動時自動加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，于是冰河又回來了!這就是冰河屢刪不止的原因。

　　清除的相關(guān)方法

　　1、刪除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

　　2、冰河會在注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion

　　Run下扎根，鍵值為C:/windows/system/Kernel32.exe，刪除它。

　　3、在注冊表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，還有鍵值為C:/windows/system/Kernel32.exe的，也要刪除。

　　4、最后，改注冊表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默認(rèn)值，由中木馬后的C:/windows/system/Sysexplr.exe %1改為正常情況下的C:/windows/notepad.exe %1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。