什麽叫“反彈端口”型木馬呢?作者經過分析防火墻的特性後發現:大多數的防火墻對於由外面連入本機的連接往往會進行非常嚴格的過濾,但是對於由本機連出的連接卻疏於防範(當然也有的防火墻兩方面都很嚴格)。於是,與壹般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,當要建立連接時,由客戶端通過FTP主頁空間告訴服務端:“現在開始連接我吧”,然後就進入監聽狀態,服務端收到通知後,就會開始連接客戶端。為了隱蔽起見,客戶端的監聽端口壹般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發現的也是類似“TCP服務端的IP地址:1026客戶端的IP地址:80 ESTABLISHED”的情況,稍微疏忽壹點妳就會以為是自己在瀏覽網頁。防火墻也會如此認為,我想大概沒有哪個防火墻會不給用戶向外連接80端口吧,
清除方法:
網絡神偷會在註冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下建立鍵值“internet”,其值為internet.exe /s,將鍵值刪除;
刪除其自啟動程序C:\Windows\SYSTEM\Internet.EXE。
OK,神偷完蛋了!