国产黑客软件“冰河” 与所有的特洛伊木马程序一样,当“冰河”的服务器端程序G_Server.exe一旦被某台电脑的使用者所执行,虽然在表面上看不出任何变化,但事实上,该服务器端程序已悄悄地进驻该机的注册表,以后,只要这台电脑一启动上网,可怕的“后门”(默认端口号7626)就会悄然洞开,可轻易地被藏在网络某个角落的客户端程序G_Client.exe扫描到并实施包括可显示系统信息及上网密码、系统控制(重新启动、关机等)、注册表键值读写等几乎是全方位的控制。
如果上网时一旦不小心误入了“冰河”,脱身的方法如下:
1、在c:\Windows\system目录下,查找并删除名为KERNEL32.EXE的文件。
2、“冰河”为了进行自我保护,它可将自己与文本文件关联,以便在程序被删除后在打开文本文件的时候又自动恢复,这个关联文件是SYSEXPLR.EXE。
3、检查注册表。在“开始—运行”里输入“regedit”并回车,在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run和HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices”,查找并删除有KERNEL32.EXE文件的键值。
4、最后,因为“冰河”的服务器端程序名不一定就是KERNEL32.EXE,所以最可靠的办法还是把C盘格式化后重新安装Windows。
