文/浩亮工作室 小蓉

　　责任编辑：兔子

　　知：《蓝色火焰》是一款国产木马，虽然没有《冰河》、《黑洞2001》等木马名气大，但是我们同样很难发现或清除它。《蓝色火焰》还有个特别出众的地方就是它没有客户端程序，它的服务端程序是运行在Windows平台上的，本质上可以说是一个微型的Telent、FTP和Web服务器程序，只要外部使用Telent、FTP和浏览器就能控制它了。正所谓“无招胜有招”，由于《蓝色火焰》不需要客户端程序，所以“网络流氓”们能很轻易地利用机器里几乎所有和网络相关的程序来控制它，如Telnet、IE、Netscape、Opera、Flashget、Cuteftp等，甚至可以跨平台来操控服务端，如在Unix、Linux系统下……

　　查：如果不小心运行了《蓝色火焰》服务端程序“bf_server.exe”，会在C:＼WINDOWS＼SYSTEM文件夹下生成三个木马文件“tasksvc.exe”、“sysexpl.exe”、“bfhook.dll”，前两个文件无论大小、图标都和原木马文件一模一样；最后一个文件bfhook.dll为DLL文件，大小为18K。

　　《蓝色火焰》一般是利用19191端口，但是最新的“微型版”(由于体积太大容易被细心的用户发现，所以有了这个体积只有10K的“微型版”)，则使用9191端口连接。所以，也可以通过这个方法来发现《蓝色火焰》，在MSDOS窗口下(在Win2000下称作命令提示符下)运行“netstat -a”命令即可，如果发现有19191或9191端口开放，就表示中了《蓝色火焰》木马！

　　杀：清除方法：

　　1. 清除注册表中的可疑键值

　　在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，进入：HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run，找到"Network Services"="C:＼＼WINDOWS＼＼SYSTEM＼＼tasksvc.exe"，删除串值Network Services及其键值。

　　再到这里：HKEY_CLASSES_ROOTtxtfile＼shell＼open＼command和HKEY_LOCAL_MACHINE＼Software＼CLASSES＼txtfile＼shell＼open＼command之下，将C:＼WINDOWS＼SYSTEM＼sysexpl.exe %1中的“sysexpl.exe %1”更改为“NOTEPAD.exe %1”。

　　2. 删除文件

　　到C:＼WINDOWS＼SYSTEM下，将tasksvc.exe、sysexpl.exe、bfhook.dll这三个文件彻底删除。