此类木马采用了反弹端口技术，防火墙对它们也不起作用。因为你的电脑中毒后，会主动连接黑客电脑的80端口，防火墙会认为你在浏览网页，不会加以阻止，因此你的防火墙就形同虚设。这样你的系统就完全暴露在黑客手中，黑客可以对用户进行远程文件和注册表的操作，捕获被控制电脑的屏幕，远程重启和关闭计算机，禁用系统热键和注册表编辑器。此类木马中危害最大的有灰鸽子、黑洞、安哥。

　　1、灰鸽子(Hack.Huigezi)

　　手工清除方法：首先要禁止它开机自动运行，点开始/运行，输入msconfig点确定，在系统配置实用程序中选“启动项”，然后把SVCHOST前面的勾去掉，点确定后退出；接下来在运行中输regedit 进入注册表，查找SVCHOST（注意是大写的），删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg，关机重启；最后运行TcpView，检查你的8225端口是否开着。

　　2、黑洞(Backdoor/BlackHole.2004)

　　黑洞病毒于2004年8月被截获，它可以窃取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等；可记录用户电脑的一切键盘输入，包括中英文输入，直接威胁用户的隐私安全。

　　黑洞可按反弹端口方式进行连接，这样病毒能穿透一般防火墙、渗透到内部网络；它还自带IP数据库，当黑客与被感染机器建立连接后，即能看到用户所在的实际地理位置，使得黑客在挑选攻击对象时，能有所选择。类似国产冰河、灰鸽子等黑客控制软件，黑洞可以让黑客监控染毒的电脑，远程开启用户USB摄像头，并将其偷拍数据转换为Mpeg文件传给黑客观看，远程查看或关闭用户所有进程，非法观看远程桌面、远程重启关机，以及所有资源/文件，并可以控制上传下载。与“蜜蜂大盗”相比，该病毒功能更强，增加了通过麦克风，远程捕获用户声音的能力。

　　该病毒运行后，将在感染的电脑上创建文件%WinDir%\server.exe（207982字节）；在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加启动项："111" = %WinDir%\server.exe这样系统启动时，病毒即自动执行。它可以用dll方式注入到任意进程（包括explorer.exe，IE浏览器，notepad.exe 等系统进程）中，具有更强的隐蔽性，而且病毒名、大小、隐藏路径都是不定的，这就给用户发现和查杀病毒带来困难。

　　3、安哥(Hack.Agobot3.aw)

　　该病毒兼具黑客和蠕虫的功能，利用IRC软件开启后门，等待黑客控制。它试图偷取被感染电脑内的正版软件序列号等重要信息，可造成计算机不稳定，出现计算机运行速度和网络传输速度极剧下降，复制、粘贴等系统功能不可用，OFFICE和IE浏览器软件异常等现象。

　　该病毒运行后，将自身复制为%System%\scvhost.exe，在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加键值 "servicehost"="Scvhost.exe"，在注册表的主键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicces中添加键值"servicehost"="Scvhost.exe"该病毒会中止许多知名反病毒软件和网络安全软件，利用RPC DCOM漏洞和WebDAV漏洞在网络中高速传播；使用内部包含的超大型“Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码表”猜口令的方式，重点攻击局域网中的计算机，感染整个局域网，造成网络瘫痪。

　　防范对策：升级金山毒霸到最新的病毒库，或下载“安哥”专杀工具（下载地址 http://www.duba.net/download/3/100.shtml）；为系统打上MS03-026 RPC DCOM漏洞补丁(823980，下载地址http://support.microsoft.com/default.aspx?kbid=823980) 和MS03-007 WebDAV漏洞补丁(815021，下载地址http://support.microsoft.com/default.aspx?kbid=815021)，并为系统管理员帐号设置一个更为强壮的密码。

　　手工清除方法：WinXP用户右击“我的电脑”，选“属性”/系统还原，首先关闭系统还原功能；然后按Ctrl+Alt+Del调出任务管理器，单击“进程”打开进程管理器，找到名为scvhost.exe的进程，并将其结束；打开注册表，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，在右边的面板中, 找到并删除如下项目："Enabledcom" = "irun4.exe"；进入系统目录（\Winnt\System32或\Windows\System32)，找到文件“irun4.exe”将它删除，注意清空回收站内的内容。