虽然通过系统的NET SEND命令可以发送信息,但我早已经将系统的Messenger服务停止了,所以不可能接受到使用这种方式传送的信息。升级杀毒软件的病毒库,以求查杀这个木马。可令我失望的是,一个病毒也没有查到。
查找木马线索
既然怀疑是木马捣鬼,我开始查找可能的蛛丝马迹。首先打开命令提示符,输入命令netstat -ano后查看结果,结果发现系统开放了一个4466的TCP可疑端口。为了了解是什么程序开放的这个端口,我马上上网通过搜索引擎进行查找,结果一无所获。于是怀疑可能是某种全新的木马程序,因为现在的木马程序很多都包括自定义端口的选项。
我从刚才的结果中得知,开放这个端口进程的PID是1844。于是马上调出Windows 任务管理器,从进程列表中找到PID为1844的进程,进程名称是svch0st.exe。表面上看svch0st.exe和常见的系统进程svchost.exe差不多,但入侵者利用普通用户对系统进程的不了解,利用阿拉伯数字1和0,来代替英文字母I和O,使我差点误认为svch0st.exe是系统进程。
本新闻共2页,当前在第1页 1 2
找到可疑的进程以后,我接着打开注册表编辑器。我知道现在流行的木马程序的启动方式,包括注册表启动、系统服务启动、ActiveX插件等多种启动方式。首先找到注册表RUN启动项,即HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,发现了可疑的启动项,该键值正好对应着可疑进程svch0st.exe。
将木马赶尽杀绝
本以为会遇到某个很难清除的木马程序,没想到这么快就找到了木马程序的进程和启动项,于是准备开始清除木马。首先在任务管理器中结束svch0st.exe这个进程。稍等一会,再查看,发现该进程并没有重新出现。接着在注册表中删除木马的启动项,然后通过系统的搜索功能来查找svch0st.exe这个文件,并成功将它清除。
重新启动系统,本以为这样就已经脱离了木马的“魔爪”,谁知道当我打开一个文本文件后,系统又变得越来越慢,CPU的使用率达到100%。打开任务管理器,发现那个svch0st.exe又位列众多进程之中。
于是重新清除,为了这次能够一次性将它彻底清除,我改变了操作方法。首先在系统中找到svch0st.exe,然后将它复制到桌面,接着通过UltraEdit打开这个文件,希望能从中找到可用的信息。
结果非常幸运,我在文件的编码中发现了“glacier”这个字符,我简直不敢相信自己的眼睛。glacier?不就是大名鼎鼎的“冰河”木马吗?现在居然还有人在用这个“古老的”木马程序,还把我整得这么惨。
既然是“古老的”木马程序,为什么连包括最新病毒库的杀毒软件都不能查杀呢?通过了解,知道这些冰河版本都是进行了免杀处理的,而杀毒软件又是通过特征码进行杀毒的,所以往往不能在第一时间进行查杀。另外,虽然冰河服务端程序的隐藏做得很简单,但是它修改了TXT、EXE两种类型文件的关联,所以先前表面上清除了木马程序,但是一运行文本文件,服务端程序又会激活。
明白了这些以后,按照前面的步骤清除木马程序后,接着通过瑞星注册表修复工具将修改的文件关联进行修复,重新启动系统后,这个变种冰河被真正地成功清除了。
冰河作为一款功能强大的国产木马,曾经在国内流行极广,几乎每一百台计算机就有两三台寄存着这种木马。冰河木马的作者黄鑫早已停止了对冰河的开发。现在大家使用的冰河版本,大多都是冰河爱好者通过对原版本的修改而得来。这些修改版主要更改原版本的服务端的通用密码、图标、名称等等,并进行免杀处理。但并没有对冰河原有的基本特点进行更改,所以在查杀上也显得较容易。
其实作为冰河木马的受害者,完全可以通过冰河原作者黄鑫发布的兼带蜜罐程序的冰河陷阱对服务端程序进行自动清除。 除此以外,冰河陷阱还可以伪装成“冰河”服务端,对入侵者进行欺骗,并记录入侵者的所有操作的功能。
另外通过UltraEdit、WinHex等十六进制工具对可疑文件进行查看,往往可以找到该文件的一些特征字符,比如NTdhcp、GrayBird、BlackHole这些字符就分别针对啊拉QQ大盗、灰鸽子、黑洞等。
本新闻共2页,当前在第2页 1 2
更多内容请看 电脑知识商网 > > 菜鸟学堂 > > 电脑应用专题
