¿Qué debo hacer si me convierto en un pollo de engorde?
¡Sin pollo! Compruebe el "broiler" oculto: 4 trucos para detectar troyanos ocultos en el ordenador
Tianya (Número 19, 14 de mayo de 2007)
Los troyanos están arrasando en Internet. Si no tenemos cuidado, podemos convertirnos en víctimas en manos de piratas informáticos. En ese momento, su computadora se convertirá en una marioneta controlada por piratas informáticos y su privacidad personal quedará completamente expuesta. Me niego a ser controlado por piratas informáticos, tengo la última palabra en mi computadora. Después del Primero de Mayo, ha comenzado el período en el que los piratas informáticos buscan bots. Según las características de los troyanos, utilizamos 4 autoverificaciones para evitar convertirnos en piratas informáticos.
Pocos conocimientos: un broiler es en realidad un ordenador que ha sido infectado por el caballo de Troya de un hacker o que tiene instalado un programa de puerta trasera. Un hacker puede hacerle todo a un asador al igual que un administrador de computadora. Mucha gente ahora llama a los hosts remotos con permisos WEBSHELL parrillas.
El primer paso: identificar la autenticidad de los procesos del sistema
Para ocultarse mejor, los troyanos actualmente populares utilizan muchos métodos para ocultarse, el más común de los cuales es El proceso está escondido. Este método no sólo es difícil de encontrar mediante técnicas de inspección comunes, sino que si el usuario lo opera incorrectamente, también puede eliminar el proceso del sistema, provocando inestabilidad en el sistema o incluso fallas. Estos programas troyanos comunes incluyen Gray Pigeon, Watchman, Shangxing Trojan, etc.
Método de autocomprobación
Para disfrazar mejor el troyano, los piratas informáticos suelen configurar el nombre del troyano para que sea muy similar al nombre del proceso del sistema. Por lo general, los procesos del sistema los carga el usuario del sistema. Si encontramos que el usuario actual carga un "proceso del sistema", entonces debe haber algún problema con este "proceso del sistema".
Además, también podemos distinguirlo de la ruta del proceso del sistema. Por ejemplo, el proceso normal del sistema svchost.exe debe estar en el directorio "c:\Windows\system32". encuentra que su ruta está en otros directorios. Lo siguiente indica que hay un problema con el proceso.
Además, los troyanos actuales prestan gran atención a la protección de sus propios programas de servidor. Es posible que no podamos ver el proceso del servidor del troyano a través del "Administrador de tareas" porque el programa troyano utiliza inserción de subprocesos y otros. tecnologías. El programa del servidor está oculto.
Aquí Shushu recomienda que utilice IceSword (dirección de descarga: /zsgj/GPDetect.exe
Panda Burning Incense Killing Tool
Kingsoft: /db/download/ othertools/DuBaTool_WhBoy.BAT
Herramienta para matar virus Maiying
Jiangmin: /bzsoft/), porque su velocidad de escaneo es muy rápida. Haga clic en el comando "Ejecutar" en el menú Inicio, ingrese "cmd" para abrir la ventana del símbolo del sistema y luego ingrese el siguiente comando: S tcp 192.168.1.1 192.168 1.255 135 100 /save (Figura 1).
Figura 1
Las direcciones IP delante y detrás representan las direcciones de inicio y fin del escaneo, 135 en la parte posterior representa el puerto del escaneo, 100 representa el número de subprocesos para escanear, y cuanto mayor sea el número, más rápido será. Cabe señalar que muchos sistemas Windows limitan los subprocesos a 10 de forma predeterminada. Necesitamos utilizar herramientas de modificación para cambiar este límite.
Consejos: Por ejemplo, abrimos el directorio de instalación de "Bit Elf", ejecutamos BetterSP2.exe en él, lo configuramos en 256 en la opción "Cambiar límite a" en la ventana emergente y finalmente haga clic en el botón "Aplicar" y simplemente reinicie el sistema.
Paso 2: Examinar los objetivos que pueden ser invadidos desde los ordenadores que han abierto el puerto 135. Primero, abra el archivo de dirección IP Result.txt en el directorio del escáner S, elimine el exceso de información en el archivo de texto y conserve solo el contenido relacionado con la dirección IP. Luego ejecute la herramienta de descifrado NTScan (dirección de descarga: /bzsoft/), que puede descifrar el sistema remoto (Figura 2).
Figura 2
Configure el archivo de dirección IP en el "Archivo Host" en la ventana NTScan, seleccione el tipo de escaneo WMI y luego configúrelo en 135 en el "Puerto de escaneo". .
Finalmente, haga clic en el botón "Inicio" para realizar la operación de descifrado. Las direcciones de host descifradas con éxito se guardan en NTScan.txt.
Paso 3: Ahora utilice la herramienta Recton para cargar nuestro programa troyano (dirección de descarga: /bzsoft/). Haga clic en la pestaña "Planta" en la ventana, busque una dirección en NTScan.txt y agréguela a la opción "Configuración de host remoto". Luego seleccione la opción "Descarga HTTP", configure la dirección del enlace web del programa troyano en el "Directorio de archivos" y finalmente haga clic en el botón "Iniciar ejecución" (Figura 3).
Figura 3
De esta manera, el programa troyano se carga en el host remoto mediante el puerto 135 y se ejecuta silenciosamente en segundo plano del sistema. Este método no requiere la participación de usuarios remotos, por lo que su ocultamiento y tasa de éxito son muy altos, y es adecuado para la captura por lotes de pollos de engorde. Sin embargo, el programa troyano cargado debe tratarse con un tratamiento antivirus.
Consejo: cuando ejecute herramientas de piratería, primero debe desactivar el software antivirus, ya que el software antivirus las eliminará como virus.
3. Habilidades de prevención
1. Utilice el firewall de la red para bloquear el puerto 135 en el sistema, de modo que los piratas informáticos fallen desde el primer paso. Además, puertos como 139, 445 y 3389 también son puertos que debemos bloquear.
2. Mejore la seguridad de la contraseña de la cuenta del administrador en el sistema actual. Por ejemplo, la contraseña debe tener al menos 6 caracteres e incluir números, letras mayúsculas y minúsculas, etc. De esta manera, las herramientas de piratería no pueden descifrar fácilmente la contraseña de nuestra cuenta, por lo que incluso escanear nuestro puerto 135 será inútil.
3. Instale la última versión del software antivirus y actualice la base de datos de virus a la última versión. Esta es una pregunta común. Si es posible, lo mejor es que los usuarios utilicen software antivirus con capacidades de defensa activa.
Juego de ataque y defensa
Hackers de ataque: de hecho, es posible capturar una gran cantidad de pollos de engorde usando el puerto 135, pero llevará mucho tiempo. Con la actualización continua de los sistemas operativos y el fortalecimiento de la protección de las personas contra el puerto 135, este método se ha convertido gradualmente en un novato y los verdaderos expertos lo desdeñan. Hay muchas formas para que los piratas informáticos atrapen pollos. Por ejemplo, también podemos utilizar Xunlei para difundir troyanos empaquetados. Este es un método más popular para atrapar pollos.
Antiedición: Dado que los piratas informáticos utilizan el puerto 135 para invadir, solo necesitamos deshabilitar o restringir las funciones relevantes. Además, los piratas informáticos que utilizan Xunlei para difundir troyanos empaquetados, además de utilizar las funciones de seguridad de Xunlei para la detección durante el proceso de descarga, también pueden utilizar la herramienta "Web Trojan Interceptor". Ya sea un troyano web o un troyano incluido, mientras se ejecute, será interceptado y se le pedirá al usuario que preste atención.
------------------------------------------- -------------------------------------------------- -- ------------------
Ps: El contenido anterior está citado de Computer News
(No hay necesidad de entrar en pánico, la única manera es responder activamente y resolver el problema) La mejor política)