手无寸铁轻易清除“dll后门木马”

一直以来，我们都认为木马是以exe结尾的可执行文件，只要不运行exe为后缀的文件就可以了。但如果木马都这么容易辨别，那就不能称为木马了。事实上有很多木马都不是以exe为后缀的，例如著名的后门木马工具bits，就是一款dll后门，整个后门程序只有一个dll文件，但却可以实现非常恐怖的效果。那么dll后门木马是如何运作的?我们又该如何清除dll后门木马呢?请看本文。

★编辑提示：dll后门木马的来历

dll(Dynamic

Link

Library)即系统的动态链接库文件。dll文件本身并不可以运行，需要应用程序调用。当程序运行时，Windows将dll文件装入内存中，并寻找文件中出现的动态链接库文件。dll后门木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成dll文件。我们都知道正在运行的程序是不能关闭的，而dll后门木马会插入到这个应用程序的内存模块中，因此同样同样无法删除，这就是dll后门木马的高明之处。

dll后门木马通常只有一个文件，依靠动态链接程序库，由某一个EXE作为载体，或者使用Rundll32.exe来启动，插入到系统进程中，达到隐藏自身的目的。因此dll后门木马在隐藏技术上比普通木马有了质的飞跃，当然危害性也就大大增加了。

dll后门木马的运作方式

dll后门木马的危害主要分为两方面：1.隐蔽性，由于其可以“寄宿”于任一应用程序的进程，包括系统进程，因此我们很难发现其存在。2.难删除：上文中我们提到被dll后门木马插入的进程是无法结束的，因此要想清除并不容易。

我们来结合实际看看dll后门木马的使用和运作过程。bits是一款著名的dll后门木马，其具备了dll后门木马的所有特点，没有进程，也不开启端口，隐蔽性很强，是dll后门木马的代表。

bits的安装

bits只有一个dll文件——bits.dll。点击“开始”→“运行”，输入“rundll32.exe

bits.dll,install

<123456>”即可成功让bits进驻系统。

▲安装bits

bits的使用

假设运行bits的计算机IP地址为192.168.0.1，黑客可以使用一款网络工具nc,在“命令提示符”中运行nc后输入命令“nc

192.168.0.1

80”。回车后会发现没有回显，此时我们需要输入“123456@dancewithdolphin[xell]:777”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口，此时黑客再连接目标主机的777端口就可以在目标计算机上执行任意命令了。一般的dll后门木马都需要类似的安装和使用，虽然比普通木马要来得麻烦，但是威力是相当大的。

▲连接bits开启后门

清除木马

bits的清除还是比较简单的，首先运行注册表编辑器，定位到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters，将

ServiceDll的键值更改为“%SystemRoot%System32rasauto.dll”即可，然后将系统目录system32文件夹下的bits.dll删除即可。

▲清除bits

dll后门木马的防范

1、当系统存在问题时，我们可以查看进程中的dll文件，找出隐藏在其中的dll后门木马。查看进程中的dll文件可以使用Windows优化大师的进程管理功能，点击进程后，在下方会出现该进程中包含的dll文件，如果是系统进程，那么其dll文件的发行商都应该是“Microsoft”，否则就很有可能是dll后门木马。找到dll后门木马后将进程结束，再根据路径将dll后门木马删除即可。

2、及时更新杀毒软件。dll后门木马虽然和普通木马不同，但仍旧是木马，还是可以被杀毒软件查杀的，只要我们及时升级杀毒软件病毒库，对防范dll后门木马还是有很大帮助的。

分类: 电脑/网络 >> *** 作系统/系统故障

问题描述:

我的电脑中了Backdoor,这个lmktccmp.dll文件被感染,可是找不到,用诺顿查出来了也删不掉,请大家帮帮忙.安全模式也删不掉.

解析:

Backdoor.Khaos 是允许攻击者未经允许使用您计算机的后门特洛伊木马程序。Backdoor.Khaos 通常以 Server2.exe文件的形式出现。默认情况下它会打开6969 埠监听通讯。

Backdoor.Khaos 不会自动安装自己，而通常是被其它程序安装。其结果是，尽管 Backdoor.Khaos被安装在计算机上，大部份的情况下重新启动计算机后它就不再运行。

Backdoor.Khaos 用 Microsoft Visual Basic 5 编写并需要 Visual Basic (VB) run-time libraries 安装在计算机的情况下才能执行。

也称为: BKDR_KHAOS.A [Trend], Backdoor.Khaos [KAV], Backdoor.Win32/Khaos [RAV]

Backdoor.Snowdoor 在受感染的计算机上打开 TCP 5326 或 5328 埠的后门特洛伊木马。 该后门特洛伊木马允许攻击者未经允许使用您计算机。

Backdoor.Snowdoor 是以 Delphi 程序语言编写而成并由 UPX 压缩。

也称为: Backdoor.Snowdoor [KAV], Backdoor:Win32/Snowdoor.A [RAV]

Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。

高波： Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。

你先用BACKDOOR有很多种，你先查下具体是什么病毒，然后用比较不错的杀毒软件杀一下

---