一)知:
《藍色火焰》是一款國產木馬,雖然沒有《冰河》、《黑洞2001》等木馬名氣大,但是我們同樣很難發現或清除它。《藍色火焰》還有個特別出眾的地方就是它沒有客戶端程式,它的服務端程式是運行在Windows平台上的,本質上可以說是一個微型的Telent、FTP和Web伺服器程式,只要外部使用Telent、FTP和瀏覽器就能控制它了。正所謂“無招勝有招”,由於《藍色火焰》不需要客戶端程式,所以“網路流氓”們能很輕易地利用機器里幾乎所有和網路相關的程式來控制它,如Telnet、IE、Netscape、Opera、Flashget、Cuteftp等,甚至可以跨平台來操控服務端,如在Unix、Linux系統下……
二)查:
如果不小心運行了《藍色火焰》服務端程式“bf_server.exe”,會在C:\WINDOWS\SYSTEM資料夾下生成三個木馬檔案“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”,前兩個檔案無論大小、圖示都和原木馬檔案一模一樣;最後一個檔案bfhook.dll為DLL檔案,大小為18K。《藍色火焰》一般是利用19191連線埠,但是最新的“微型版”(由於體積太大容易被細心的用戶發現,所以有了這個體積只有10K的“微型版”),則使用9191連線埠連線。所以,也可以通過這個方法來發現《藍色火焰》,在MSDOS視窗下(在Win2000下稱作命令提示符下)運行“netstat -a”命令即可,如果發現有19191或9191連線埠開放,就表示中了《藍色火焰》木馬!
三)殺:
清除方法:1. 清除註冊表中的可疑鍵值
在“開始”選單的“運行”中輸入Regedit,打開註冊表編輯器,進入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找到"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe",刪除串值Network Services及其鍵值。
再到這裡:HKEY_CLASSES_ROOTtxtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,將C:\WINDOWS\SYSTEM\sysexpl.exe %1中的“sysexpl.exe %1”更改為“NOTEPAD.exe %1”。
2. 刪除檔案
到C:\WINDOWS\SYSTEM下,將tasksvc.exe、sysexpl.exe、bfhook.dll這三個檔案徹底刪除。
