火焰木马“火焰马壁纸”
中华·事事通蓝色火焰木马的清除方式
1、清除方法: 清除注册表中的可疑键值在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,进入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找到Network Services=C:\\WINDOWS\\SYSTEM\\tasksvc.exe,删除串值Network Services及其键值。
2、清除方法: 清除注册表中的可疑键值。 在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,进入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找到Network Services=C:\\WINDOWS\\SYSTEM\\tasksvc.exe,删除串值Network Services及其键值。
3、要清除蓝色火焰木马,可以按照以下步骤操作:首先,打开注册表编辑器。在“开始”菜单中输入“Regedit”,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。在此处查找名为Network Services的可疑键值,其路径应为C:\\WINDOWS\\SYSTEM\\tasksvc.exe。
蓝色火焰木马简介
蓝色火焰是一款低调而难缠的国产木马,相较于如冰河、黑洞2001等广为人知的同类程序,它显得更为隐蔽。其独特之处在于,它并没有传统的客户端程序,而是将服务端运行在Windows平台上,实际上,它是一个小型的网络服务集合体,包括Telent、FTP和Web服务器功能。
首先,会有两个文件“tasksvc.exe”和“sysexpl.exe”出现,它们在外观上与原木马文件难以区分,无论是大小还是图标都几乎一致;其次,还有一个名为“bfhook.dll”的DLL文件,其大小约为18千字节。通常,《蓝色火焰》会利用19191端口进行通信。
火焰木马可能是指《蓝色火焰》,它是一款国产木马,虽然没有《冰河》、《黑洞2001》等木马名气大,但是我们同样很难发现或清除它。
如果不小心运行了《蓝色火焰》服务端程序“bf_server.exe”,会在C:\WINDOWS\SYSTEM文件夹下生成三个木马文件“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”,前两个文件无论大小、图标都和原木马文件一模一样;最后一个文件bfhook.dll为DLL文件,大小为18K。
蓝色火焰木马查找方法
首先,会有两个文件“tasksvc.exe”和“sysexpl.exe”出现,它们在外观上与原木马文件难以区分,无论是大小还是图标都几乎一致;其次,还有一个名为“bfhook.dll”的DLL文件,其大小约为18千字节。通常,《蓝色火焰》会利用19191端口进行通信。
要清除蓝色火焰木马,可以按照以下步骤操作:首先,打开注册表编辑器。在“开始”菜单中输入“Regedit”,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。在此处查找名为Network Services的可疑键值,其路径应为C:\\WINDOWS\\SYSTEM\\tasksvc.exe。
蓝色火焰是一款低调而难缠的国产木马,相较于如冰河、黑洞2001等广为人知的同类程序,它显得更为隐蔽。其独特之处在于,它并没有传统的客户端程序,而是将服务端运行在Windows平台上,实际上,它是一个小型的网络服务集合体,包括Telent、FTP和Web服务器功能。
最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。
如果不小心运行了《蓝色火焰》服务端程序“bf_server.exe”,会在C:\WINDOWS\SYSTEM文件夹下生成三个木马文件“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”,前两个文件无论大小、图标都和原木马文件一模一样;最后一个文件bfhook.dll为DLL文件,大小为18K。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
