天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

木马横行无忌 国外的禽兽照样杀

2008-2-18电脑报2006年第28期F9版佚名

    木马在网络上横行无忌,众多网友谈“马”色变。但是道高一尺,魔高一丈。木马终究逃不出各种杀毒软件的绞杀。虽然如此,各种木马还是不断挑战各种杀毒软件,欲将入侵用户电脑的战争进行到底。这不,来自国外的禽兽木马悄悄登陆中国,准备在这里引发一场腥风血雨。但是再狡猾的狐狸也难逃出猎人的眼睛。本期,来自新疆的曾震就要和禽兽斗法。


扫黑尖兵:曾震
所在城市:新疆
使用系统:Windows XP SP2


    最近这几天不知道怎么了,上网速度越来越慢,并且系统的资源占用也常常莫名其妙地就达到100%。有的时候光驱突然弹出、关闭,桌面的图标也莫名其妙地消失,鼠标也常常不能被自己操作。这样造成的结果不是网络断线,就是系统假死,给自己的上网造成了极大的不便。通过这一系列反常的现象来看,自己的操作系统一定是中了病毒或黑客的木马程序,于是立即准备杀毒。


    首先升级杀毒软件的病毒库,接着对操作系统的所有磁盘进行全面扫描,结果一个可疑的恶意文件都没有扫描出来。心想这个恶意程序一定是刚刚出现的,或是某些老程序的新变种,暂时还没有被杀毒软件收入到病毒库。既然杀毒软件不能扫描到病毒,那么就只能通过手工的方法进行查找了。


    查找线索


    要进行手工操作,还需要一些工具的帮忙,首先在金山毒霸的网站上下载了一款名为“可疑文件扫描工具”的小工具。双击运行它以后,点击“开始扫描”按钮就能对当前系统中可疑的进程进行扫描,很快程序就扫描到一个可疑的进程文件“EXPL0RER.EXE”。


    本以为是资源管理器的进程EXPLORER.EXE,经过认真查看才明白,这个可疑的文件名将数字0替换了正常的字母O,看来到处都在玩数字游戏


    在任务栏上点击鼠标右键,选择“任务管理器”命令来查看当前系统中的进程。除了找到可疑的进程文件“EXPL0RER.EXE”,竟然还发现了一个IE浏览器的进程IEXPLORE.EXE。由于当时并没有使用IE浏览器,所以断定该进程可能是被恶意程序所利用。


    运行“木马辅助查找器”,点击“启动项管理”选项,很快就从“注册表启动项”标签窗口中找到了一个和可疑进程文件“EXPL0RER.EXE”相关的启动项。


    接着切换到“进程监控”选项卡,选中IEXPLORE.EXE选项,然后在“DLL文件”区域查看利用了该进程的DLL文件,从中找到一个名为“mydll.dll”的文件,说明该恶意程序采用了线程插入技术。既采用了线程插入技术,又出现其他伪装的进程,这种情况还很少见到。


    斩草除根


    不过既然恶意程序的启动项和进程都已经找到,我准备开始进行清除操作。点击木马辅助查找器中的“进程监控”标签,选择“EXPL0RER.EXE”和“IEXPLORE.EXE”这两项后,点击“终止选中进程”按钮来结束这两个进程。接着切换到“启动项管理”标签,找到那个可疑的启动项后并删除。当我再次回到“进程监控”标签后,吓了我一跳,原来刚刚结束的那两个进程又出现在进程列表中。


    这两个进程这么快就恢复了,看来这个恶意程序一定是采用了进程监控技术。当隐藏的其他进程发现别的进程被终止以后,没有被终止的进程就会立刻恢复被终止的进程。再次查看进程列表,这次又发现了一个可疑的进程文件“SP00LSV.EXE”。


    该文件同样通过将数字0替换了字母O,来伪装正常的系统进程SPOOLSV.EXE。在确定了没有其他的可疑进程后,选中这三个进程,同时进行终止操作。接着来到系统目录中,将EXPL0RER.EXE、mydll.dll、SP00LSV.EXE、win32log.dat这几个文件同时删除,终于将这个恶意程序成功地删除掉,最后重新启动系统即可。


    尽管清除了它,但还不知道它到底是什么恶意程序。通过向高手咨询,得知这个恶意程序就是国外知名的木马程序禽兽,只有它的最新版本才有这些服务端程序的“防护”功能。据说最新版本的禽兽除了能将进程插入到IE浏览器或资源管理器的进程外,还能自定义插入到其他的进程之中。


    如何让木马更容易逃脱用户的检查?这是所有恶意程序的作者在编写程序前思考的一个问题。因为要使自己的程序不会轻易地被杀毒软件以及用户清除,他们想出了各种各样的方法,比如进程监控技术、线程插入技术,并且通过主动查杀杀毒软件或防火墙的进程,以求“自保”。


    可是“道高一尺,魔高一丈”,只要用户通过认真的观察、冷静的分析,再加上对各种检测工具的熟练操作,隐藏再深的恶意程序也能被我们连根拔起、斩草除根。

 

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:电脑报2006年第28期F9版 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行