冰河是国内非常有名的木马，虽然许多杀毒软件可以将其查杀，但现在网上又出现了许多冰河变种程序，这里介绍的是V8.4。

（一）配置服务器程序

冰河的客户端程序为G-dient.exe，在冰河的控制端可以对服务器端进行配置。图2-82所示的就是冰河的安装路径、文件名称、监听端口等内容。

图2-82　冰河服务器端参数的设置

冰河在注册表设置的自我保护的内容也就是查杀时所寻找的内容。配置完后生成服务器端程序G-server.exe。服务器端一旦运行G-server，该程序就会按照前面的设置在“C：\WINNT\system32”目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，在注册表中sysexplr.exe和TXT文件关联，如图2-83所示。

图2-83　冰河服务器端启动、关联参数的设置

（二）传播木马

通过邮件、QQ等方式传播该木马服务器程序，并诱惑被攻击者运行该程序。

（三）客户端（控制端）操作

冰河的客户端界面如图2-84所示，冰河的功能是自动跟踪目标机屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息等。(www.daowen.com)

图2-84　冰河客户端界面

（四）冰河木马的防御

冰河是传统木马，中了该木马以后，计算机就会主动打开端口等待控制端来连接。这样很容易被发现，而且对于安装了防火墙的计算机来说，会阻止该计算机主动对外的连接，所以安装防火墙是对传统木马有效防御。

（五）冰河木马的手动清除

相对应的冰河木马手动清除方法如下。

（1）关闭“Kernel32.exe”进程。

（2）删除“C：\WINNT\system32”下的“Kernel32.exe”和“Sysexplr.exe”文件。

（3）冰河会驻留在注册表“HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run”下，键值为“C：\WINNT\system32\Kernel32.exe”，将其删除即可。

（4）在注册表的“HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices”下，还有键值为“C：\WINNT\system32\Kernel32.exe”的，也要将其删除。

（5）修改注册表“HKEY_CLASSES_ROOT\txtfile\shell\open\command”下的默认值，由中木马后的“C：\WINNT\system32\Sysexplr.exe%1"改为正常情况下的“C：\WINNT\notepad.exe%1”，即可恢复TXT文件关联功能。