标题深入分析最新木马──“广外女生”

　　编者按：目前互联网上不安全的因素越来越多，新型的木马也是层出不穷，“广外女生”就是一个典型的例子，机器感染它后，会自动终止一些杀毒软件和防火墙的进程(很会保护自己)，这也应该算是它出道不久就声名鹊起的主要原因。但只要我们了解它，对付这种木马，应该是轻而易举的。
　　软件类型：远程控制软件
　　软件版本：广外女生1.5Alpha
　　运行环境：Win98/SE/ME/NT/2000或安装Winsock2.0的Win95/97
　　特点：
　　1.使用了exe文件关联(不可更改！)，给删除带来一定难度。
　　2.可配置内容较多，较易隐藏。
　　包括：保护密码、端口、exe文件名、注册表自启动项名称、错误提示、图标、防火墙处理等等。
　　言归正转，还是说说具体特点及查杀方法吧。
　　控制端文件：文件为gwg.exe，大小为409KB。具有服务端配置及生成的功能，也带了端口扫描功能。
　　服务端文件：文件为GDUFS.exe，大小为116KB。
　　注：文件名可改。
　　服务端文件图标：flash文件(.swf)。
　　注：图标可改。
　　服务端运行后生成文件：
　　C:\WINDOWS\SYSTEM\Diagcfg.exe(大小为98KB)图标为服务端文件图标。
　　注：文件名可改，但路径不可改！
　　C:\WINDOWS\SYSTEM\Msiesmtp.dll(大小为18KB)图标为dll文件默认图标。　　
　　注：文件名可改，但路径不可改！
　　通讯端口：6267。
　　注：可更改
　　注册表项目一：HKEY_LOCAL_MAC
　　HINE\Software\CLASSES\exefile\shell\open\command\键名默认键值：“C:\WINDOWS\SYSTEM\DIAGCFG.EXE “%1” %*”，应该改为““%1” %*”
　　作用：与exe文件产生关联(其中DIAGCFG.EXE为服务端解包后生成文件的文件名，可更改)。
　　注册表项目二：HEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices/键名：Diagnostic Configuration键值：“C:\WINDOWS\SYSTEM\DIAGCFG.EXE”，应删去。
　　作用：启动时自动加载服务端(其中DIAGCFG.EXE为服务端解包后生成文件的文件名，可更改)。
　　手动查杀方法
　　1.检查注册表项目一中键值是否被改动，若改动就意味着你中木马了，键值中的文件就是木马。
　　2.若你在网上请立即下线。
　　3.由于改变了exe文件关联，所以不能直接删除DIAGCFG.EXE。
　　4.若你有能终止进程的工具，那么：
　　1)运行注册表编辑器。
　　2)终止木马的进程。
　　3)把注册表改回来。
　　4)删除木马文件本体。
　　若你没有能终止进程的工具，那么(Win 2000系统不适用这个文件):
　　1)新建一个文本文档，内容如下：
　　REGEDIT4
　　(一定要空行，注册表的格式)
　　[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]@=“\”%1\“ %*”
　　并另存为“恢复文件关联.reg”，注意扩展名为reg.然后双击导入。
　　2)重启，进入MS-DOS，删除木马文件本体。
　　3)把注册表改回来。