警政署刑事局侦九队公布的基本快速发现及移除恶意程式方法
一、关闭所有已知对外连线程式,在确定网路没有正常对外连线情况下,开启cmd.exe,输入利用「netstat -an -p tcp」指令清查异常对外通讯的应用程式,检查是否有对外TCP 53及80 port连线,观察是否具恶意程式特质,并注意VNC、Terminal Service 等远端遥控5800、5000 and 3389 port之不明外来遥控连线。若使用者本身有安装远端遥控程式如VNC或Terminal Server,建议更改预设连线port,并设定存取连线之IP,以防骇客使用该远端遥控程式。
二、检查登录编辑器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自动启动路径下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字样之机码,若存在的话将该机码删除。
三、检核微软系统目录中(路径大多为C:\WINNT\SYSTEM32\)是否存在下列异常档案,并删除之:
(一)、恶意程式—peep.exe:通常会存放在c:\winnt\system32目录之下,执行后会自动产生explorer.exe于c:\winnt\system32目录(正常之explorer.exe是存放在c:\winnt之目录之下),并于网路连线后自动连线至跳板主机之80port,一般80port为网页主机之用,peep.exe木马程式则用做远端遥控并可传递受感染之电脑内任何档案资料。
(二)、恶意程式—service.exe:正常之系统档为services.exe,存放于c:\winnt\system32目录之下,若电脑有service.exe或非位于c:\winnt\system32目录下之services.exe档案则可能受到感染。Service.exe执行后会产生MFC42G.DLL及WinCom32.exe等两个档案,并于网路连线后以TCP方式连线至跳版主机之53port,一般53port为DNS之用,且是以UDP方式连线。
(三)、恶意程式—iexplore.exe:iexplore.exe被置于c:\windows\system32目录中(正常位于c:\program Files\Internet Explorer),该程式改编自知名偷密码程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,为知名收集密码资讯程式的变种,会搜集受害者所输入的帐号密码后以电子邮件方式传送至中国大陆的某个邮件主机。
(四)、其他异常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知档名之恶意程式,另需人工检核是否有异常程式,如「*.bat」及「*.reg」通常为骇客入侵后安装恶意程式使用之档案,及pslist.exe、pskill.exe、pulist.exe等p开头之档案则为骇客工具档案,以上档案通常存放于c:\winnt\system32目录之下。
四、重新开机并注意电脑对外通讯情形。
警政署刑事局网址:
http://www.cib.gov.tw