勒索病毒过后，了解shift后门常见问题

帝通科技

    前一阵的勒索病毒，闹得人心惶惶，中国的多所大学的校网被攻击，除此之外也包括一些政府、医疗等机构。几十个国家中招，蔓延全球。勒索病毒过后也敲响了网民保护个人信息安全的新潮。网络安全对于个人乃至国家都是维护自身利益的重要问题。下面小编简单介绍关于shift后门的常见问题。

　　1、shift后门是什么？

　　shift后门是种利用Windows系统粘滞键漏洞的木马程序。入侵者通常会利用CMD.exe文件来替换Windows正常的系统粘贴键文件的方式给自己留后门，在Windows系统下shift后门木马程序可实现连续按5下SHIFT键，可以启动系统的粘滞键功能，并通过shift后门木马程序创建管理员账户，或者给普通账号提权的方式，控制被入侵者的电脑或网站服务器。其进程名为Sethc.exe，进程文件为sethc或者sethc.exe，应用程序在Windows\system32下。

2、如何检查shift后门木马？

　　其实很简单，我们只需要打开windows2003服务器(2000/nt)3389远程管理客户端，然后连续按5下shift键。查看是否存在非正常反应，就可以判断是否中了shift后门木马。比如，如果连续按5下shift键后，直接调用的是cmd.exe窗口而非sethc.exe程序窗口的话，那么，就是中了shift后门木马了。

　3、如何预防和清除shift后门木马？

　　很多入侵者都会使用cmd.exe程序文件来替换默认的sethc.exe系统文件的方式给自己留后门，般该文件都具有users组的权限，现在的IDC在机器原始配置的时候都很少注意权限分配，再加上些管理员对这些很陌生，所以很多网站服务器很容易就中上shift木马，给我们服务器安全带来了诸多隐患。

　　预防后门木马：

　　1、连敲5次shift，然后在弹出的设置里面取消连滞键。

2、修改copy.exe的权限，这里推荐大家把c盘所有的程序都改下，只有administrator才能访问；

　　清除shift后门木马：

　　第一种方法是，利用正常的sethc.exe文件覆盖恢复被入侵者替换过的sethc.exe程序文件。sethc.exe文件位置是：c:\windows\system32\c:\windows\system32\dllcache\目录。这里要注意的是：默认情况，管理员是不能编辑sethc.exe文件的，在使用正常sethc.exe文件覆盖修复被入侵者替换的sethc.exe文件前，我们需要在sethc.exe打开右键，选择“属性”，选择“安全”选项卡，再点击“高”按钮，把“从父项继承……”前面的对勾去掉，然后确定，这样才能够顺利进行正常sethc.exe文件的覆盖修复。

　　另种方法就是，禁用sethc.exe程序所有权限或者拒绝任何用户访问sethc.exe程序文件。就是都不用Windows系统粘滞键功能了，入侵者用不了了，自己想用也用不了了，所以，这里建议大家使用第一种清除shift后门木马的方法。

随着我们的互联网技术的飞速发展，网络安全已成为我们社会发展进步的重要保证。对于个人来说是敏感信息，对于国家甚至是国家机密，像木马病毒、信息窃取、数据篡改。与此同时自然灾害也是对我们网络安全发展的考验。也希望大家看了小编的文章有所收获。

本文由帝通科技原创，转载请点明出处www.ddv.cn