木马在网络上横行无忌，众多网友谈“马”色变。但是道高一尺，魔高一丈。木马终究逃不出各种杀毒软件的绞杀。虽然如此，各种木马还是不断挑战各种杀毒软件，欲将入侵用户电脑的战争进行到底。这不，来自国外的禽兽木马悄悄登陆中国，准备在这里引发一场腥风血雨。但是再狡猾的狐狸也难逃出猎人的眼睛。本期，来自新疆的曾震就要和禽兽斗法。

扫黑尖兵：曾震
所在城市：新疆
使用系统：Windows XP SP2

    最近这几天不知道怎么了，上网速度越来越慢，并且系统的资源占用也常常莫名其妙地就达到100%。有的时候光驱突然弹出、关闭，桌面的图标也莫名其妙地消失，鼠标也常常不能被自己操作。这样造成的结果不是网络断线，就是系统假死，给自己的上网造成了极大的不便。通过这一系列反常的现象来看，自己的操作系统一定是中了病毒或黑客的木马程序，于是立即准备杀毒。

    首先升级杀毒软件的病毒库，接着对操作系统的所有磁盘进行全面扫描，结果一个可疑的恶意文件都没有扫描出来。心想这个恶意程序一定是刚刚出现的，或是某些老程序的新变种，暂时还没有被杀毒软件收入到病毒库。既然杀毒软件不能扫描到病毒，那么就只能通过手工的方法进行查找了。

    查找线索

    要进行手工操作，还需要一些工具的帮忙，首先在金山毒霸的网站上下载了一款名为“可疑文件扫描工具”的小工具。双击运行它以后，点击“开始扫描”按钮就能对当前系统中可疑的进程进行扫描，很快程序就扫描到一个可疑的进程文件“EXPL0RER.EXE”。

    本以为是资源管理器的进程EXPLORER.EXE，经过认真查看才明白，这个可疑的文件名将数字0替换了正常的字母O，看来到处都在玩数字游戏。

    在任务栏上点击鼠标右键，选择“任务管理器”命令来查看当前系统中的进程。除了找到可疑的进程文件“EXPL0RER.EXE”，竟然还发现了一个IE浏览器的进程IEXPLORE.EXE。由于当时并没有使用IE浏览器，所以断定该进程可能是被恶意程序所利用。

    运行“木马辅助查找器”，点击“启动项管理”选项，很快就从“注册表启动项”标签窗口中找到了一个和可疑进程文件“EXPL0RER.EXE”相关的启动项。

    接着切换到“进程监控”选项卡，选中IEXPLORE.EXE选项，然后在“DLL文件”区域查看利用了该进程的DLL文件，从中找到一个名为“mydll.dll”的文件，说明该恶意程序采用了线程插入技术。既采用了线程插入技术，又出现其他伪装的进程，这种情况还很少见到。

    斩草除根

    不过既然恶意程序的启动项和进程都已经找到，我准备开始进行清除操作。点击木马辅助查找器中的“进程监控”标签，选择“EXPL0RER.EXE”和“IEXPLORE.EXE”这两项后，点击“终止选中进程”按钮来结束这两个进程。接着切换到“启动项管理”标签，找到那个可疑的启动项后并删除。当我再次回到“进程监控”标签后，吓了我一跳，原来刚刚结束的那两个进程又出现在进程列表中。

    这两个进程这么快就恢复了，看来这个恶意程序一定是采用了进程监控技术。当隐藏的其他进程发现别的进程被终止以后，没有被终止的进程就会立刻恢复被终止的进程。再次查看进程列表，这次又发现了一个可疑的进程文件“SP00LSV.EXE”。

    该文件同样通过将数字0替换了字母O，来伪装正常的系统进程SPOOLSV.EXE。在确定了没有其他的可疑进程后，选中这三个进程，同时进行终止操作。接着来到系统目录中，将EXPL0RER.EXE、mydll.dll、SP00LSV.EXE、win32log.dat这几个文件同时删除，终于将这个恶意程序成功地删除掉，最后重新启动系统即可。

    尽管清除了它，但还不知道它到底是什么恶意程序。通过向高手咨询，得知这个恶意程序就是国外知名的木马程序禽兽，只有它的最新版本才有这些服务端程序的“防护”功能。据说最新版本的禽兽除了能将进程插入到IE浏览器或资源管理器的进程外，还能自定义插入到其他的进程之中。

    如何让木马更容易逃脱用户的检查？这是所有恶意程序的作者在编写程序前思考的一个问题。因为要使自己的程序不会轻易地被杀毒软件以及用户清除，他们想出了各种各样的方法，比如进程监控技术、线程插入技术，并且通过主动查杀杀毒软件或防火墙的进程，以求“自保”。

    可是“道高一尺，魔高一丈”，只要用户通过认真的观察、冷静的分析，再加上对各种检测工具的熟练操作，隐藏再深的恶意程序也能被我们连根拔起、斩草除根。

 

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: