冰河木馬:遠程控制軟件-中文百科頻道

具體功能

在2006年之前，冰河在國内一直是不可動搖的領軍木馬，在國内沒用過冰河的人等于沒用過木馬，由此可見冰河木馬在國内的影響力之巨大。

目的：遠程訪問、控制。

選擇：可人為制造受害者和尋找"養馬場"，選擇前者的基本上可省略掃描的步驟。

1．自動跟蹤目标機屏幕變化，同時可以完全模拟鍵盤及鼠标輸入,即在同步被控端屏幕變化的同時，監控端的一切鍵盤及鼠标操作将反映在被控端屏幕（局域網适用）；

2．記錄各種口令信息：包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息；

3．獲取系統信息：包括計算機名、注冊公司、當前用戶、系統路徑、操作系統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統數據；

4．限制系統功能：包括遠程關機、遠程重啟計算機、鎖定鼠标、鎖定系統熱鍵及鎖定注冊表等多項功能限制；

5．遠程文件操作：包括創建、上傳、下載、複制、删除文件或目錄、文件壓縮、快速浏覽文本文件、遠程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隐藏方式）等多項文件操作功能；

6．注冊表操作：包括對主鍵的浏覽、增删、複制、重命名和對鍵值的讀寫等所有注冊表操作功能；

7．發送信息：以四種常用圖标向被控端發送簡短信息；

8．點對點通訊：以聊天室形式同被控端進行在線交談。

從一定程度上可以說冰河是最有名的木馬了，就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它，但國内仍有幾十萬種冰河的電腦存在！作為木馬，冰河創造了最多人使用、最多人中彈的奇迹，掌握了如何清除标準版，再來對付變種冰河就很容易了。

冰河的服務器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那麼該程序就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系統啟動時自動加載運行，sysexplr.exe和TXT文件關聯。即使你删除了Kernel32.exe，隻要你打開TXT文件，sysexplr.exe就會被激活，它将再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢删不止的原因。

清除方法

1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

2、冰河會在注冊表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion

Run下紮根，鍵值為C:/windows/system/Kernel32.exe，删除它。

3、在注冊表的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices下，還有鍵值為C:/windows/system/Kernel32.exe的，也要删除。

4、最後，改注冊表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默認值，由中木馬後的C:/windows/system/Sysexplr.exe%1改為正常情況下的C:/windows/notepad.exe%1，即可恢複TXT文件關聯功能。

原理

木馬冰河是用C++Builder寫的，為了便于大家理解，我将用相對比較簡單的VB來說明它，其中涉及到一些WinSock編程和WindowsAPI的知識，如果你不是很了解的話，請去查閱相關的資料。

基礎篇

無論大家把木馬看得多神秘，也無論木馬能實現多麼強大的功能，木馬，其實質隻是一個網絡客戶/服務程序。那麼，就讓我們從網絡客戶/服務程序的編寫開始。

基本概念

網絡客戶/服務模式的原理是一台主機提供服務(服務器)，另一台主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口并進行監聽(Listen),如果有客戶機向服務器的這一端口提出連接請求(ConnectRequest),服務器上的相應程序就會自動運行，來應答客戶機的請求，這個程序我們稱為守護進程(UNIX的術語,不過已經被移植到了MS系統上)。對于冰河，被控制端就成為一台服務器，控制端則是一台客戶機，G_server.exe是守護進程,G_client是客戶端應用程序。(這一點經常有人混淆，而且往往會給自己種了木馬!）

程序實現

在VB中,可以使用Winsock控件來編寫網絡客戶/服務程序,實現方法如下(其中,G_Server和G_Client均為Winsock控件):

服務端:

G_Server.LocalPort=7626(冰河的默認端口,可以改為别的值)

G_Server.Listen(等待連接)

客戶端:

G_Client.RemoteHost=ServerIP(設遠端地址為服務器地址)

G_Client.RemotePort=7626(設遠程端口為冰河的默認端口,呵呵,知道嗎?這是冰河的生日哦)

(在這裡可以分配一個本地端口給G_Client,如果不分配,計算機将會自動分配一個,建議讓計算機自動分配)

G_Client.Connect(調用Winsock控件的連接方法)

一旦服務端接到客戶端的連接請求ConnectionRequest,就接受連接

PrivateSubG_Server_ConnectionRequest(ByValrequestIDAsLong)

G_Server.AcceptrequestID

EndSub

客戶機端用G_Client.SendData發送命令,而服務器在G_Server_DateArrive事件中接受并執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)

如果客戶斷開連接,則關閉連接并重新監聽端口

PrivateSubG_Server_Close()

G_Server.Close(關閉連接)

G_Server.Listen(再次監聽)

EndSub

其他的部分可以用命令傳遞來進行，客戶端上傳一個命令，服務端解釋并執行命令......

控制篇

由于Win98開放了所有的權限給用戶，因此，以用戶權限運行的木馬程序幾乎可以控制一切，讓我們來看看冰河究竟能做些什麼(看了後,你會認同我的觀點:稱冰河為木馬是不恰當的,冰河實現的功能之多,足以成為一個成功的遠程控制軟件)

因為冰河實現的功能實在太多,我不可能在這裡一一詳細地說明,所以下面僅對冰河的主要功能進行簡單的概述,主要是使用WindowsAPI函數,如果你想知道這些函數的具體定義和參數,請查詢WinAPI手冊。

遠程監控

(控制對方鼠标、鍵盤，并監視對方屏幕)

keybd_event模拟一個鍵盤動作(這個函數支持屏幕截圖哦)。

mouse_event模拟一次鼠标事件(這個函數的參數太複雜,我要全寫在這裡會被編輯罵死的,隻能寫一點主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE指定鼠标坐标系統中的一個絕對位置。

MOUSEEVENTF_MOVE移動鼠标

MOUSEEVENTF_LEFTDOWN模拟鼠标左鍵按下

MOUSEEVENTF_LEFTUP模拟鼠标左鍵擡起

MOUSEEVENTF_RIGHTDOWN模拟鼠标右鍵按下

MOUSEEVENTF_RIGHTUP模拟鼠标右鍵按下

MOUSEEVENTF_MIDDLEDOWN模拟鼠标中鍵按下

MOUSEEVENTF_MIDDLEUP模拟鼠标中鍵按下

dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标

記錄口令信息

(作者注：出于安全角度考慮,本文不探讨這方面的問題,也請不要給我來信詢問)

獲取系統信息

a.取得計算機名GetComputerName

b.更改計算機名SetComputerName

c.當前用戶GetUserName函數

d.系統路徑

SetFileSystem0bject=CreateObject("Scripting.FileSystemObject")(建立文件系統對象)

SetSystemDir=FileSystem0bject.getspecialfolder(1)

(取系統目錄)

SetSystemDir=FileSystem0bject.getspecialfolder(0)

(取Windows安裝目錄)

(友情提醒:FileSystemObject是一個很有用的對象,你可以用它來完成很多有用的文件操作)

e.取得系統版本GetVersionEx(還有一個GetVersion,不過在32位windows下可能會有問題,所以建議用GetVersionEx

f.當前顯示分辨率

Width=screen.Widthscreen.TwipsPerPixelX

Height=screen.Heightscreen.TwipsPerPixelY

其實如果不用WindowsAPI我們也能很容易的取到系統的各類信息,那就是Windows的"垃圾站"-注冊表

比如計算機名和計算機标識吧:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDVNETSUP中的Comment,ComputerName和WorkGroup

注冊公司和用戶名:HKEY_USERS.DEFAULTSoftwareMicrosoftMSSetup(ACME)UserInfo至于如何取得注冊表鍵值請看第6部分。

限制系統功能

a.遠程關機或重啟計算機,使用WinAPI中的如下函數可以實現:

ExitWindowsEx(ByValuFlags,0)

當uFlags=0EWX_LOGOFF中止進程，然後注銷

當uFlags=1EWX_SHUTDOWN關掉系統電源

當uFlags=2EWX_REBOOT重新引導系統

當uFlags=4EWX_FORCE強迫中止沒有響應的進程

b.鎖定鼠标

ClipCursor(lpRectAsRECT)可以将指針限制到指定區域,或者用ShowCursor(FALSE)把鼠标隐藏起來也可以

注:RECT是一個矩形,定義如下:

TypeRECT

LeftAsLong

TopAsLong

RightAsLong

BottomAsLong

EndType

c.鎖定系統這個有太多的辦法了,嘿嘿,想Windows不死機都困難呀,比如,搞個死循環吧,當然,要想系統徹底崩潰還需要一點技巧,比如設備漏洞或者耗盡資源什麼的......

d.讓對方掉線RasHangUp......

e.終止進程ExitProcess......

f.關閉窗口利用FindWindow函數找到窗口并利用SendMessage函數關閉窗口

遠程文件操作

無論在哪種編程語言裡,文件操作功能都是比較簡單的,在此就不贅述了,你也可以用上面提到的FileSystemObject對象來實現

注冊表操作

在VB中隻要SetRegEdit=CreateObject（"WScript.Shell")

就可以使用以下的注冊表功能:

删除鍵值:RegEdit.RegDeleteRegKey

增加鍵值:RegEdit.WriteRegKey,RegValue

獲取鍵值:RegEdit.RegRead(Value)

記住,注冊表的鍵值要寫全路徑,否則會出錯的。

7.發送信息

很簡單,隻是一個彈出式消息框而已,VB中用MsgBox("")就可以實現,其他程序也不太難的。

8.點對點通訊

呵呵,這個嘛随便去看看什麼聊天軟件就行了(因為比較簡單但是比較煩,所以我就不寫了,呵呵。又:我始終沒有搞懂冰河為什麼要在木馬裡搞這個東東，困惑......)

9.換牆紙

CallSystemParametersInfo(20,0,"BMP路徑名稱",&H1)

值得注意的是,如果使用了ActiveDesktop,換牆紙有可能會失敗，遇到這種問題，請不要找冰河和我，去找Bill吧。

潛行篇

（Windows系統，一個捉迷藏的大森林）

木馬并不是合法的網絡服務程序，因此，它必須想盡一切辦法隐藏自己，好在Windows是一個捉迷藏的大森林!

隐藏自己

這是最基本的了,如果連這個都做不到......（想象一下，如果Windows的任務欄裡出現一個國際象棋中木馬的圖标...這也太嚣張了吧……)

在VB中，隻要把form的Visible屬性設為False,ShowInTaskBar設為False,程序就不會出現在任務欄中了。

在任務管理器中隐形：

在任務管理器中隐形,就是按下Ctrl+Alt+Del時看不見那個名字叫做“木馬”的進程，這個有點難度，不過還是難不倒我們，将程序設為“系統服務”可以很輕松的僞裝成比爾蓋茨的嫡系部隊(Windows,我們和你是一家的,不要告訴别人我藏在哪兒...)。

在VB中如下的代碼可以實現這一功能：

PublicDeclareFunctionRegisterServiceProcessLib"kernel32"(ByValProcessIDAsLong,ByValServiceFlagsAsLong)AsLong

PublicDeclareFunctionGetCurrentProcessIdLib"kernel32"()AsLong

(以上為聲明)

PrivateSubForm_Load()

RegisterServiceProcessGetCurrentProcessId,1(注冊系統服務)

EndSub

PrivateSubForm_Unload()

RegisterServiceProcessGetCurrentProcessId,0(取消系統服務)

EndSub

隐蔽啟動

你當然不會指望用戶每次啟動後點擊木馬圖标來運行服務端，木馬要做到的第二重要的事就是如何在每次用戶啟動時自動裝載服務端（第一重要的是如何讓對方中木馬，嘿嘿，這部分的内容将在後面提到）

Windows支持多種在系統啟動時自動加載應用程序的方法(簡直就像是為木馬特别定做的)啟動組、win.ini、system.ini、注冊表等等都是木馬藏身的好地方。冰河采用了多種方法确保你不能擺脫它。首先,冰河會在注冊表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和RUNSERVICE鍵值中加上了kernl32.exe(是系統目錄),其次如果你删除了這個鍵值,自以為得意地喝着茶的時候,冰河又陰魂不散地出現了...怎麼回事?

原來冰河的服務端會在c:windows(這個會随你windows的安裝目錄變化而變化）下生成一個叫sysexplr.exe文件（太象超級解霸了，好毒呀，冰河！）,這個文件是與文本文件相關聯的,隻要你打開文本(哪天不打開幾次文本?),sysexplr.exe文件就會重新生成krnel32.exe,然後你還是被冰河控制着。（冰河就是這樣長期霸占着窮苦勞動人民寶貴的系統資源的，555555）

端口

木馬都會很注意自己的端口(你呢?你關心你的6萬多個端口嗎?),如果你留意的話,你就會發現,木馬端口一般都在1000以上,而且呈越來越大的趨勢(netspy是1243....)這是因為,1000以下的端口是常用端口,占用這些端口可能會造成系統不正常,這樣木馬就會很容易暴露;而由于端口掃描是需要時間的(一個很快的端口掃描器在遠程也需要大約二十分鐘才能掃完所有的端口),故而使用諸如54321的端口會讓你很難發現它。在文章的末尾我給大家轉貼了一個常見木馬的端口表,你就對着這個表去查吧(不過,值得提醒的是,冰河及很多比較新的木馬都提供端口修改功能,所以,實際上木馬能以任意端口出現)

破解篇

冰河陷阱。

冰河陷阱有兩種作用：

1、自動清除所有版本“冰河”

2、僞裝成“冰河”被控端對入侵者進行欺騙，并記錄入侵者的所有操作

端口掃描

端口掃描是檢查遠程機器有無木馬的最好辦法,端口掃描的原理非常簡單,掃描程序嘗試連接某個端口,如果成功,則說明端口開放,如果失敗或超過某個特定的時間(超時),則說明端口關閉。（關于端口掃描，Oliver有一篇關于“半連接掃描”的文章，很精彩，那種掃描的原理不太一樣，不過不在本文讨論的範圍之中）

但是值得說明的是,對于驅動程序/動态鍊接木馬,掃描端口是不起作用的。

查看連接

查看連接和端口掃描的原理基本相同，不過是在本地機上通過netstat-a（或某個第三方的程序）查看所有的TCP/UDP連接，查看連接要比端口掃描快，缺點同樣是無法查出驅動程序/動态鍊接木馬,而且僅僅能在本地使用。

檢查注冊表

上面在讨論木馬的啟動方式時已經提到，那麼，我們同樣可以通過檢查注冊表來發現"馬蹄印",冰河在注冊表裡留下的痕迹請參照《潛行篇》。

查找文件

查找木馬特定的文件也是一個常用的方法（這個我知道,冰河的特征文件是G_Server.exe吧?笨蛋!哪會這麼簡單,冰河是狡猾狡猾的......）冰河的一個特征文件是kernl32.exe(靠,僞裝成Windows的内核呀),另一個更隐蔽,是sysexlpr.exe(什麼什麼,不是超級解霸嗎?)對！冰河之所以給這兩個文件取這樣的名字就是為了更好的僞裝自己,隻要删除了這兩個文件,冰河就已經不起作用了。其他的木馬也是一樣（廢話，Server端程序都沒了，還能幹嘛？）

如果你隻是删除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了,因為前面說了,sysexplr.exe是和文本文件關聯的,你還必須把文本文件跟notepad關聯上,方法有三種:

a.更改注冊表(我就不說了,有能力自己改的想來也不要我說,否則還是不要亂動的好)

b.在<我的電腦>-查看-文件夾選項-文件類型中編輯

c.按住SHIFT鍵的同時鼠标右擊任何一個TXT文件,選擇打開方式,選中<始終用該程序打開......>,然後找到notepad,點一下就OK了。（這個最簡單，推薦使用）

提醒一下，對于木馬這種狡猾的東西，一定要小心又小心，冰河是和txt文件關聯的，txt打不開沒什麼大不了，如果木馬是和exe文件關聯而你貿然地删了它......你苦了！連regedit都不能運行了！

殺病毒軟件

之所以把殺病毒軟件放在最後是因為它實在沒有太大的用,包括一些号稱專殺木馬的軟件也同樣是如此,不過對于過時的木馬以及菜鳥安裝的木馬(沒有配置服務端)還是有點用處的,可以監視所有調用Winsock的程序，并可以動态殺除進程，是一個個人防禦的好工具（雖然我對傳說中“該軟件可以查殺未來十年木馬”的說法表示懷疑，嘿嘿，兩年後的事都說不清，誰知道十年後木馬會“進化”到什麼程度？甚至十年後的操作系統是什麼樣的我都想象不出來）

另外，對于驅動程序/動态鍊接庫木馬，有一種方法可以試試，使用Windows的"系統文件檢查器"，通過"開始菜單"-"程序"-"附件"-"系統工具"-"系統信息"-"工具"可以運行"系統文件檢查器"(這麼詳細,不會找不到吧?什麼,你找不到!吐血!找一張98安裝盤補裝一下吧),用“系統文件檢查器”可檢測操作系統文件的完整性，如果這些文件損壞，檢查器可以将其還原，檢查器還可以從安裝盤中解壓縮已壓縮的文件（如驅動程序）。

如果你的驅動程序或動态鍊接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的系統安全和穩定。(注意,這個操作需要熟悉系統的操作者完成,由于安裝某些程序可能會自動升級驅動程序或動态鍊接庫,在這種情況下恢複"損壞的"文件可能會導緻系統崩潰或程序不可用！)

狡詐篇（隻要你的一點點疏忽......)

隻要你有一點點的疏忽，就有可能被人安裝了木馬，知道一些給人種植木馬的常見伎倆對于保證自己的安全不無裨益。

種植伎倆

網上“幫”人種植木馬的伎倆主要有以下的幾條

a.軟哄硬騙法

這個方法很多啦,而且跟技術無關的,有的是裝成大蝦,有的是裝成PLMM,有的态度謙恭,有的......反正目的都一樣,就是讓你去運行一個木馬的服務端。

b.組裝合成法

就是所謂的221(TwoToOne二合一)把一個合法的程序和一個木馬綁定,合法程序的功能不受影響,但當你運行合法程序時,木馬就自動加載了,同時,由于綁定後程序的代碼發生了變化,根據特征碼掃描的殺毒軟件很難查找出來。

c.改名換姓法

這個方法出現的比較晚，很容易上當。具體方法是把可執行文件僞裝成圖片或文本----在程序中把圖标改成Windows的默認圖片圖标,再把文件名改為*.jpg*.exe,由于Win98默認設置是"不顯示已知的文件後綴名",文件将會顯示為*.jpg,不注意的人一點這個圖标就中木馬了(如果你在程序中嵌一張圖片就更完美了)

d.願者上鈎法

木馬的主人在網頁上放置惡意代碼，引誘用戶點擊，用戶點擊的結果不言而喻：開門揖盜;奉勸：不要随便點擊網頁上的鍊接，除非你了解它，信任它，為它死了也願意...

幾點注意（一些陳詞濫調）

a．不要随便從網站上下載軟件,要下也要到比較有名、比較有信譽的站點，這些站點一般都有專人殺馬殺毒；

b．不要過于相信别人，不能随便運行别人給的軟件；

（特别是認識的，不要以為認識了就安全了，就是認識的人才會給你裝木馬,哈哈,挑撥離間......）

c．經常檢查自己的系統文件、注冊表、端口什麼的，經常去安全站點查看最新的木馬公告；

d.改掉windows關于隐藏文件後綴名的默認設置(我是隻有看見文件的後綴名才會放心地點它的)

破解之法

不用我說了,大家都知道冰河2.2最新版吧!它的強大的功能大家也一定十分的了解吧!他的操作界面清晰簡潔,控制類功能強大，一些功能如果應用與遠程控制管理，那麼它将是非常理想的軟件,可要是被他人用于黑客木馬，那麼它的危害比起BO2000,NETSPY真是有過之而無不及.事實上，把它定位于黑客木馬并不過分，因為它的服務器端程序具有隐藏,自我複制保護,盜取密碼帳号等功能,這不是一個正常的軟件所應具備的。

他甚至還可以在客戶端将木馬設置成任意文件名,服務器端程序在上網後，還會自動将該機當前的IP通過E-MAIL方式發送到客戶端.拷貝,删除文件,關閉進程,強制關機，跟蹤鍵盤鎖定鼠标等更不在話。

所以我在此給大家介紹解除冰河服務端的方法,從此就不必再擔心自己的機子會被人控制了！

那麼如何防範與消除冰河呢？

首先，不要執行來路不明的軟件程序,這是千古不變的真理.任何黑客程序再高明，功能再強大,都需要利用系統漏洞才能達到入侵的目的.假如沒有服務器端的木馬程序運行，就可以使掌握着客戶端程序的這類黑客不能得逞.其次，應養成良好的電腦使用習慣,如不把撥号上網的密碼保存等等！

了解冰河黑客軟件的攻擊機制,就沒有什麼可懼怕的了。一旦感染了"冰河",可以使用以下的方法,将其殲滅在你的電腦裡：

1.檢查注冊表啟動組,具體為:開始-->運行-->regedi值:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESogtwareMicrosoftWindowsCurrentVersionRunServer,查找KERNEL32.EXE的執行項目,如有則将兩個鍵值删除.值得注意的是,因為"冰河"可以随意配置服務器程序的參數,如服務器文件名，端口号,密碼等,因此服務器端的程序可以是随意名稱，即不局限是KERNEL32.EXE,所以在這裡需要具備一定的Windows知識,準确的找出可疑的啟動文件,如哪不定主意的話可以與另一台電腦進行對照.

2.删除硬盤上與“冰河”有關的文件.可以按上述文件名将可疑文件找出後删除.KERNEL32.EXE和sysexplr.exe(或更改為新名稱)默認在Windowssytem目錄下,但同樣因配置的不同可以寄存與Windows或Temp目錄下.

3.“冰河”的自我保護措施是很強的,它可以利用注冊表的文件關聯項目,在你毫不知覺的情況下複制自己重新安裝.在做完上述工作後,雖然表面上“冰河”不複存在了，但當你點擊打開有關文件時(如*.TXT,*EXE),“冰河”又複活了！因此為斬草除根,在上述1.2步的基礎上,還應以可疑文件名為線索,全面掃描查找一遍注冊表,可以發現可疑鍵值一一删除.

4.上述的操作因需要在系統的心髒--注冊表上做手術，有一定的危險性.其實最簡便有效的辦法就是格式化你的硬盤,重裝Windows系統，當然,你要為此付出一定的時間了！

以下是補充上述方法的新文章:

一.按照上述方法殺掉冰河後，還應該對注冊表中HKEY_CLASS_ROOTtxtfileshellopencommand下的鍵值C:WINDOWSNOTEPAD.EXE%1進行修正,改為:C:WINDOWSSYSTEMEXE%1,否則大家會發現打不開文本文件,當打開文本文件時,大家會看到'未找到程序'的提示.

二.是上述介紹殺掉木馬的方法是,隻是針對客戶端配置的确省模式,當客戶端在配置服務器程序是更換了文件名,廣大網友可能就找不到了.具體的判斷解決方法是"首先還是查看注冊表中HKEY_CLASS_TOOTtxtfileshellpoencommand的鍵值是什麼,如C:WINDOWSSYSTEMCY.EXE%1(這裡也可能是其它文件名和路徑),記下來CY.EXE;查注冊表中HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRunServer的鍵值,如也有CY.EXE,則基本上判斷他就是冰河木馬,最好還要再核對文件的字節數(2.0版本冰河木馬字節熟為495,733字節),将以上的兩個鍵值删除C:WINDOWSSYSTEMCY.EXE即可(在WIN98下是删不掉的).需要注意的是在修正注冊表之前,要做好備份;要對與CY.EXE字節熟相同的文件引其高度注意,以防客戶端在此前給你配置了幾套冰河木馬。