如何清除Radmin木馬

字號:

網(wǎng)絡(luò)安全不可忽視,一不小心就讓你中招。最近Radmin木馬就在網(wǎng)絡(luò)上瘋狂流竄作案。如果大家通過清理注冊表啟動項的方法去對付它的話,是不能夠成功清除的。因為Radmin通過服務(wù)項啟動,并且極具隱蔽性。大家要是對系統(tǒng)服務(wù)不熟悉,還真拿它沒有辦法。但是再狡猾的狐貍也逃不脫獵人的眼睛。下面我們就來看看來自湖南的掃黑尖兵小舟是如何清除狡猾的Radmin木馬的。
    情況描述
    電腦的鼠標指針無故滑動,像是被別人在操作。并且電腦里多了一些軟件程序,其中居然還有寬帶賬號查看器。電腦也有時自動重啟或則關(guān)閉。月底去電信營業(yè)廳繳上網(wǎng)費,發(fā)現(xiàn)莫名多出了使用互聯(lián)星空進行網(wǎng)上消費的賬單,可是我并沒有通過電信的互聯(lián)星空購買任何東西呀。
    揪出幕后黑手
    根據(jù)這些情況,我第一感覺就是中了灰鴿子木馬。誰叫灰鴿子 “臭名遠揚”呢?于是馬上升級殺毒軟件,對系統(tǒng)進行全面掃描。但是在漫長的查殺過程中一無所獲。于是我又按照《電腦報》掃黑尖兵所介紹的方法來手工絞殺灰鴿子,但是發(fā)現(xiàn)并沒有中灰鴿子木馬。
    真不甘心,我難道還搞不定一個小“馬”?我不氣餒,仔細地排查系統(tǒng)進程,發(fā)現(xiàn)了一個可疑進程r_server.exe,發(fā)現(xiàn)該進程占用的內(nèi)存不大,但是電腦在出現(xiàn)我所描述的故障時,便一下子增大了,可見是一個后門程序。馬上結(jié)束它,并且打開注冊表在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的位置尋找可疑的加載值。
    但是讓我失望的是并沒有r_server.exe加載的值,難道它使用什么最新的高技術(shù)?一下子我的思路全斷了。于是我又打開“命令提示符”輸入“netstat –an”來查看計算機的所有連接與端口使用的情況,我查到一個被非法占用的4899端口,并且看到了遠程控制我的IP地址。這下露出馬腳了。
    掃除Radmin害人“馬”
    根據(jù)種種跡象,在網(wǎng)上查看,我猜測我中的是Radmin木馬。Radmin木馬的默認端口就是4899,并且Radmin不同于普通的木馬使用run加載值,而且該木馬以前被殺毒軟件認為是“良民”的,因為它的原始作用是幫助網(wǎng)管進行遠程操作的。但是被黑客濫用于非法對別人入侵后,殺毒軟件也不得不對它“痛下殺手”了。
    我打開注冊表編輯器,用木馬進程名r_server.exe作為關(guān)鍵字進行掃描,很快便搜索到相關(guān)的鍵值,我在無意中的點擊中打開了“Display Name”鍵值的修改項,發(fā)現(xiàn)數(shù)值數(shù)據(jù)為“Remote Administrator Service”,這應(yīng)該就是Radmin啟動的服務(wù)名稱了,因為Display Name的作用是在服務(wù)列表中顯示的名稱。
    到這里我已經(jīng)清楚Radmin木馬的工作方式了,它并不是通過run鍵值來加載的,而是通過“服務(wù)”來加載的。知道工作方式就好處理了。我打開服務(wù)項,依次進入“控制面板→管理工具→服務(wù)”,將Remote Administrator Service服務(wù)禁用掉,這時我又發(fā)現(xiàn)Radmin鍵值下的Image Path值下有木馬程序的目錄,通過目錄將木馬主程序及一些DLL文件刪除掉,再將Radmin主鍵值刪除,Radmin就這樣被驅(qū)除了。
    從這個事例,我們可以看到入侵者在小舟的電腦上種上木馬后,盜取小舟的寬帶賬號并通過互聯(lián)星空進行消費,這是相當卑鄙的,同時這也是犯罪!阿良在這里提醒大家,如果沒有使用互聯(lián)星空服務(wù)的需求,去營業(yè)廳關(guān)閉網(wǎng)上購物的功能,以防有所損失。
    Radmin木馬采用大家都容易忽視的服務(wù)方式啟動木馬,增加了大家掃黑的困難。不過還是那句話,再狡猾的狐貍也逃不過獵人的眼睛。只要是木馬,一般都會占用系統(tǒng)的端口,只要我們發(fā)現(xiàn)了被非法占用端口,然后順藤摸瓜,就能找到清除木馬的方法。
    最后提示大家,關(guān)閉不需要的服務(wù)不但可以讓系統(tǒng)性能提高,也可以在一定程度上增加系統(tǒng)的安全系數(shù)。如果大家對系統(tǒng)需要的服務(wù)不熟悉,可以借助超級兔子優(yōu)化軟件,在它的啟動優(yōu)化中可以對系統(tǒng)啟動的服務(wù)進行設(shè)置。千萬不可自己隨意關(guān)閉服務(wù),不然有可能導(dǎo)致系統(tǒng)崩潰。