股市週期網 StockCycle
訪客 您好!請您先登錄網站 | 註冊會員最新文章熱門文章使用幫助購文辦法 股市週期網 StockCycle 首頁!

返回論壇首頁 股市週期網 StockCycle
 電腦網路區 回上一頁
 查閱主題:[轉貼]偵測、移除惡意程式傳授四祕笈
<< 電腦網路區歡迎您的到來 >>
 本版精華  個人收藏  回覆通知
您是本文章第 2894 位閱讀者。上一篇主題重新整理下一篇主題
 文章主題:[轉貼]偵測、移除惡意程式傳授四祕笈 【加入收藏】將本主題加入我的收藏 將本主題加入我的最愛

作者匿稱:阿賢

 會員等級:一般居民
一般居民銀卡
 
 會員編號:00829
 理財金幣:+ 3840 
 發表總數:總計 51 篇文章
 註冊日期:2004/04/03
 查看會員資料 會員資料  發送悄悄話 悄悄話題  電子郵件 發送郵件  參觀 阿賢 的個人首頁 個人網站  引用 引用回覆  回覆文章 回覆文章 
張國仁 企業界及個人如何快速發現及移除惡意程式?刑事局昨天公布「秘笈四招」,供社會各界自行操練並排除惡意程式的入侵。


秘笈一:
關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟_cmd_.exe,輸入利用「netstat-an-ptcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP53及80port連線,觀察是否具惡意程式特質,並注意VNC、TerminalService等遠端遙控5800、5000and3389port的不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或TerminalServer,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。

秘笈二:
檢查登錄編輯器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。

秘笈三:
檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案,並刪除之:
(一)惡意程式-peep.exe:通常會存放在c:\winnt\system32目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常的explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
 (二)惡意程式-service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機53port,一般53port為DNS之用,且是以UDP方式連線。
 (三)惡意程式-iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\programFiles\InternetExplorer),該程式改編自知名偷密碼程式nasswordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
 (四)其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。

秘笈四:
重新開機並注意電腦對外通訊情形。如在電腦沒有作任何運作時,從電腦工作管理員的圖表上,發現持續有人大量運作中。




發表時間 2004/05/20 07:39:53  該用戶目前不在線上    

作者匿稱:jeng

 會員等級:二等公民
二等公民
 
 會員編號:003351
 理財金幣:+ 352 
 發表總數:總計 282 篇文章
 註冊日期:2006/06/26
 查看會員資料 會員資料  發送悄悄話 悄悄話題  發送電子郵件 發送郵件  參觀 jeng 的個人網站 個人網站  回覆並引用原文 引用回覆  回覆本主題 回覆文章 

多謝分享,我也會擔心有駭客入侵!
又不知道該怎麼辦

jeng
 

回覆時間 2006/07/21 14:57:34
本主題只有一頁。 回上一頁
快速回覆文章: [轉貼]偵測、移除惡意程式傳授四祕笈
用戶名稱及密碼: 用戶名稱: 註冊會員? 安全密碼: 忘記密碼?



使用表情文字轉換?

   您可以使用鍵盤上的 Ctrl + Enter 鍵直接送出回覆

↑回頁首↑


本網站訊息內容著作權及責任歸作者所有,不作為投資決策依據,版權所有禁止未經授權轉貼節錄。
本網站發表言論純屬發表者個人意見,與 股市週期網 StockCycle 立場無關。
本網站所有的標籤與註冊商標由原創作者所有,本站僅提供連結,不代表擁有版權,如有侵權,請通知站長移除。