winxp ghost

ntVersion\\Run&rdquo 目录下 查看键值中有没有自己不熟悉的自动启动文件 扩展名为EXE 这里切记 有的&ldquo 木马&rdquo 程序生成的文件很像系统自身文件 想通过伪装蒙混过关 如&ldquo AcidBatteryv 木马&rdquo 它将注册表&ldquo HKEYLOCALMACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run&rdquo 下的Explorer键值改为Explorer=&ldquo C \\Windows\\expiorerexe&rdquo &ldquo 木马&rdquo 程序与真正的Explorer之间只有&ldquo i&rdquo 与&ldquo l&rdquo 的差别 当然在注册表中还有很多地方都可以隐藏&ldquo 木马&rdquo 程序 如 &ldquo HKEYCURRENTUSER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run&rdquo &ldquo HKEYUSERS\\****\\Software\\Microsoft\\Windows\\CurrentVersion\\Run&rdquo 的目录下都有可能 最好的办法就是在&lwin764 ghostdquo HKEYLOCALMACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run&rdquo 下找到&ldquo 木马该病毒也称为&ldquo CodeRedII红色代码 )&rdquo 病毒 与早先在西方英文系统下流行&ldquo 红色代码&rdquo 病毒有点相反 在国际上被称为VirtualRoot虚拟目录)病毒 该蠕虫病毒利用Microsoft已知的溢出漏洞 通过 端口来传播到其它的Web页服务器上 受感染的机器可由黑客们通过HttpGet的请求运行scriptsrootexe来获得对受感染机器的完全控制权 当感染一台服务器成功了以后 如果受感染的机器是中文的系统后 该程序会休眠 天 别的机器休眠 天 当休眠的时间到了以后 该蠕虫程序会使得机器重新启动 该蠕虫也会检查机器的月份是否是 月或者年份是否是 年 如果是 受感染的服务器也会重新启动 当WindowsNT系统启动时 NT系统会自动搜索C盘根目录下的文件explorerexe 受该网络蠕虫程序感染的服务器上的文件explorerexe也就是该网络蠕虫程序本身 该文件的大小是 字节 VirtualRoot网络蠕虫程序就是通过该程序来执行的 同时 VirtualRoot网络蠕虫程序还将cmd