冰河木马是一款功能强大的远程控制软件。用户可以随时使用该软件传输文件。除了用于办公之外,还可以用于监控局域网内的计算机信息。可以获取对方电脑的地址、用户名,并记录对方电脑的屏幕操作过程,对于监控员工电脑非常方便。
【功能特点】
1、获取系统信息:包括计算机名称、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理和逻辑磁盘信息等系统数据;
2、记录各种密码信息:包括开机密码、屏保密码、各种共享资源密码以及大部分对话框中出现过的密码信息;
3、远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、文本文件快速浏览、远程打开文件(提供普通、最大化、最小化四种不同的打开方式)和隐藏模式)等多种文件操作功能;
4、限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键、锁定注册表等;
5、发送信息:通过四个常用图标向受控端发送短信息;
6、注册表操作:包括浏览、添加、删除、复制、重命名、键值读写等所有注册表操作功能;
7、自动跟踪目标机的屏幕变化:同时可以完全模拟键盘、鼠标输入,即在同步被控端屏幕变化的同时,监控端的所有键盘、鼠标操作都会被同步。反映在受控终端屏幕上(适用于局域网);
8、点对点通讯:以聊天室的形式与受控端进行在线对话。
【清除方法】
1、删除C:Windows系统下的Kernel32.exe和Sysexplr.exe文件。
2. Glacier将位于注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion中
Run下的Root,键值为C:/windows/system/Kernel32.exe,删除即可。
3、注册表中的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices下还有一个键值C:/windows/system/Kernel32.exe,也应该删除。
4、最后将注册表中HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默认值从木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,可以恢复TXT文件关联功能。
