前沿拓展：

win10關(guān)閉后門

worm.***.dr**特征：

**別名：處理時(shí)間：2006-06-01 威脅級(jí)別：★★
中文名稱：**類仍苗先帝型：蠕蟲 影響系統(tǒng)：Wi對(duì)放引魚資派員n 9x/ME,Win 2000/NT,Win XP,Win 2003
**行為:
該**為Windows平臺(tái)下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感染、下載網(wǎng)絡(luò)木馬或其它**的復(fù)合型**，**運(yùn)行后將自身偽裝成系統(tǒng)正常文件，以迷惑用戶，通過修改注冊(cè)表項(xiàng)使**開機(jī)時(shí)可以自動(dòng)運(yùn)行，同時(shí)**通過線程注入技術(shù)勝始繞過防火墻的監(jiān)視，連接到**作者指定的網(wǎng)站下載特定的木馬或其它**，同時(shí)**運(yùn)行蘇表勝海后枚舉內(nèi)網(wǎng)的所有裂縣升例突創(chuàng)步林女望可用共享，并嘗試通過弱口令方式連接感染目標(biāo)計(jì)算機(jī)。
運(yùn)行過程過感染用戶機(jī)器上的可執(zhí)行文件，造成五停眼少會(huì)用戶機(jī)器運(yùn)行速度變慢，破壞用戶機(jī)器的可執(zhí)行文件，給用戶安全性構(gòu)成危害。
**主要通過共享目錄、文件捆綁、運(yùn)行被感染**的程序、可帶**的郵件并命也觸審難社罪附件等方式進(jìn)行傳播。
1、**運(yùn)行后將自身**到Windows文件夾下,文件名為:
%SystemRoot%\rundl132.exe
2、運(yùn)行劉被感染的文件后，**將**體**到為以下文件:
%SystemRoot%\logo_1.exe
3、同時(shí)**會(huì)在**文件夾下生鄉(xiāng)態(tài)溫聽織謂務(wù)成:
**目錄\v***.***
4、**從Z航也范策執(zhí)盤開始向前搜索所有可用分區(qū)中的exe文件，第二感染所有大小27kb-10mb的可執(zhí)行文件，感染完畢在被感染的文件夾中生成:
_***.ini (文件屬性:系統(tǒng)、隱藏。)
5、**會(huì)嘗試修改%SysRoot%\system32\drivers\etc\ho厚系如治真緊sts文件。
6、**通過添加如**冊(cè)表項(xiàng)實(shí)現(xiàn)**開機(jī)自動(dòng)運(yùn)行:
[HKEY_LOCAL_MACHINE\SOF呢房各TWARE\Microsoft\Windows\C洲角優(yōu)熱住黑可龍異春urrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_今免去價(jià)USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、**運(yùn)行德跑缺時(shí)嘗試查找窗體名勞座湖同藥為:"RavMonClass"的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。
8、枚舉以下殺毒軟件進(jìn)程名，查找到后終止其進(jìn)程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時(shí)**嘗試?yán)靡韵旅罱K止相關(guān)殺**軟件：
net stop "Kingsoft AntiVirus Service"

10、發(fā)送ICMP探測(cè)數(shù)據(jù)"Hello,World"，判斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時(shí)，
枚舉內(nèi)網(wǎng)所有共享主機(jī)，并嘗試用弱口令連接\\IPC$、\admin$等共享目錄，連接成功后進(jìn)行網(wǎng)絡(luò)感染。
11、感染用戶機(jī)器上的exe文件，但不感染以下文件夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統(tǒng)進(jìn)程，嘗試將**dll(v***.***)選擇性注入以下進(jìn)程名對(duì)應(yīng)的進(jìn)程:
Explorer
Iexplore
找到符合條件的進(jìn)程后隨機(jī)注入以上兩個(gè)進(jìn)程中的其中一個(gè)。
13、當(dāng)外網(wǎng)可用時(shí)，被注入的dll文件嘗試連接以下網(wǎng)站下載并運(yùn)行相關(guān)程序:
http://www.17**.com/gua/***.txt 保存為:c:\1.txt
http://www.17**.com/gua/***.txt 保存為:c:\1.txt
http://www.17**.com/gua/***.txt 保存為:c:\1.txt
http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
注：三個(gè)程序都為木馬程序
14、**會(huì)將下載后的"1.txt"的內(nèi)容添加到以下相關(guān)注冊(cè)表項(xiàng)：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

worm.***.dr**解決辦法：
補(bǔ)丁及其EXE文件修復(fù)工具下載：點(diǎn)擊這里下載
威金.會(huì)感染EXE文件.下載專殺工具.殺完之后可以會(huì)出現(xiàn)EXE文件出錯(cuò) ,Exe文件修復(fù)
至于殺毒后還留下的那些尸體 _***.ini 就運(yùn)行批處理文件，！用批處理刪除把下面的**到文本文件另存為bat文件
@echo off
cls
del c:\_***.ini /f/s/q/a
del d:\_***.ini /f/s/q/a
del e:\_***.ini /f/s/q/a
del f:\_***.ini /f/s/q/a
del g:\_***.ini /f/s/q/a
del i:\_***.ini /f/s/q/a
exit
維金**手動(dòng)清除解決辦法:
**是在windows目錄下生成***.***,logo1_.exe,rundl132.exe這三個(gè)文件。
而***.***注入explorer.exe是由logo1_.exe來完成。**會(huì)在開機(jī)自動(dòng)執(zhí)行中加入rundl132.exe 第一打開我的電腦！選工具——文件夾選項(xiàng)——查看（快捷鍵按ALT+T再按O）中的"隱藏受保護(hù)的**作系統(tǒng)文件(推薦)"的勾取消,把"顯示所有文件和文件夾"選中！
1.按CTRL+ALT+DEL在任務(wù)管理器中把rundl132.exe,logo1_.exe結(jié)束掉(沒有的話,不用**作，如果用任務(wù)管理器無法結(jié)束的話試著用其他軟件來結(jié)束例如魔法兔子或優(yōu)化**),刪除C盤內(nèi)的logo1_.exel和rundl132.exe(不知道在哪里的,可以打開我的電腦按CTRL+F第二搜索rundl132.exe,logo1_.exe)
2.因?yàn)?**.***模塊被寫入到explorer中,所以刪除不掉.不過能有辦法刪除,打開任務(wù)管理把進(jìn)程中的explorer.exe結(jié)束掉，接著桌面變消失了，不怕！選中任務(wù)管理器的“文件（F）”——“新任務(wù)（運(yùn)行。。）（N）”第二運(yùn)行explorer.exe桌面就又出來了！接著把在C:盤下的***.***刪除掉(按CTRL+F查找它,第二刪除)
3.在運(yùn)行中輸入regedit查找注冊(cè)表鍵值：[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]將其刪除,第二按CTRL+F查找注冊(cè)表鍵值rundl132.exe及在這項(xiàng)中的所有鍵值將其刪除
4.打開我的電腦按CTRL+F第二搜索_***.ini,把找到的所有_***.ini刪除(刪除后圖標(biāo)還顯示在那里,別管它,關(guān)掉后在查一次看看是否還有)
該**會(huì)感染到exe應(yīng)用程序中如QQ、Office系列、千千靜聽、RealPlayer,一般圖標(biāo)變色的為被感染了,要重裝程序.最好試著打開程序后查找一下有沒生成_***.ini,有的話證明那程序被感染了,要按照上面所說的再手動(dòng)殺下毒,第二重裝該軟件.(一般感染的程序不會(huì)很多,就是rundl132.exe,logo1_.exe圖標(biāo)的那個(gè)程序)!知道在打開程序沒有出現(xiàn)_***.ini就說明大功告成了.

砰！請(qǐng)關(guān)門別摔門！怎樣關(guān)車門才不傷車

開車的人或多或少都有過這樣的經(jīng)歷：有人下車時(shí)“砰”得一聲關(guān)門，這一聲震得車?yán)锏娜硕Q，震得車主心肝兒顫抖！

因?yàn)?，車外的人感覺不到車門聲音很大，但是車內(nèi)的人卻明顯能感覺到聲音很大。而且很多人可能不理解，不大力，門關(guān)不住怎么辦？

大力關(guān)車門可能對(duì)車子本身和車內(nèi)的乘客都造成不同程度的損害，為什么這么說呢？咱們先從車門結(jié)構(gòu)說起：現(xiàn)在車門的結(jié)構(gòu)越來越復(fù)雜，里面有很多電路和線路，包括眾多零件：門鎖、玻璃升降器、喇叭和防撞梁、防水層和隔音層等等。

1、對(duì)車門造成的損害

車門和車身通過鉸鏈和限位器連接在一起，前者是固定作用，后者限制車門的打開角度，大力關(guān)門會(huì)對(duì)車門內(nèi)復(fù)雜的電機(jī)電路機(jī)構(gòu)和組件造成沖擊，長(zhǎng)此以往容易出現(xiàn)異響并且難以根治。第一受到傷害的是鉸鏈和限位器。隔音層會(huì)很受傷，如果車門被關(guān)壞了的話，噪音會(huì)直線飆。受到強(qiáng)有力沖擊的還有門框密封膠條，密封條本就是橡膠制品常年吹風(fēng)淋雨，本就會(huì)在空氣中老化的密封條再加上強(qiáng)大的力量擠壓就更容易變形和開裂了…容易受傷的是門上的負(fù)責(zé)車門未關(guān)嚴(yán)報(bào)警的傳感器。舉個(gè)不恰當(dāng)?shù)睦?，如果你天天大力砸鍵盤上的按鍵，鍵盤用不了幾次就壞了，關(guān)門這個(gè)力度可比你敲鍵盤的力度大多了，可想而知傳感器也會(huì)影響很大了吧。

2、對(duì)人的損害

除了對(duì)車子本身造成損害外，對(duì)于車內(nèi)的乘客也會(huì)造成不同程度的損害，由于車內(nèi)是一個(gè)密封的空間，大力關(guān)車門所引起的氣流，會(huì)影響密閉空間中的車內(nèi)氣壓，讓駕駛員或者是乘客耳膜疼痛，當(dāng)然這也是體現(xiàn)咱們每個(gè)乘客的基本素質(zhì)問題。

3、如何正確關(guān)車門

終歸一句話，大力摔車門并不是一件讓人歡喜的事情，在不影響正常關(guān)閉的狀態(tài)情況下，那么該如何正確關(guān)門？

其實(shí)車門關(guān)不關(guān)得緊，是根據(jù)車門內(nèi)的隔音棉、密封條和防撞阻尼的工作狀態(tài)決定的，只要用適當(dāng)?shù)牧饩妥銐蛄?，建議大家下車后將車門推送到離車身10-15厘米的地方，第二再稍微用力關(guān)上車門即可，也可以慢慢地推，直到門關(guān)上再松手。

拓展知識(shí)：

win10關(guān)閉后門

win10允許或禁止應(yīng)用軟件連互聯(lián)網(wǎng)方法，阻止軟件后門