木马伪装怎么办
(1)走小众路线:很多黑客做木马免杀的时候一般都选择几个国内比较流行的杀毒软件进行测试,而不是通过所有的杀毒软件检测。我们可以选用BitDefende、AVAST等国外知名但是在国内用户较少的杀毒软件进行检查。
(2)行为查杀:一般木马都会注入进程和服务,我们可以选择有系统行为监控的杀毒软件对注入进程或服务进行监控,制止危险的系统变动,比如卡巴斯基的主动防御机制。
还有,木马的服务端在连接客户端的时候,一些好的杀毒软件也会有出站提示,当你发现上网后杀毒软件提示你的电脑莫名奇妙要去连接某个IP时,就要注意了,如果判断是中了木马,可以中断这个出站连接,黑客也就控制不了你了。
TinyRAT木马如何清除
如今,无论用于网页木马还是远程溢出,黑客都会选择一款小巧的木马程序。随着杀毒软件和防火墙功能的逐步提高,木马程序的隐蔽性也是越来越强。比如今天介绍的这款木马程序,无论是随机启动还是穿越防火墙都是使用的系统程序,这样就为我们的检测带来非常大的困难。那么怎样才能顺利清除这款木马程序呢?www.sq120.com推荐文章
今天一网友说说自己刚刚完成不久的一张设计图被其他的设计师剽窃,问是怎么回事?听了讲述,已经隐约怀疑是木马程序作祟,但是哪一款木马程序呢?在随后的检测中发现:这个恶意程序非常奇怪,既没有相关的进程又没有启动项,就好像在系统中透明的一样,难道这就是江湖中传闻的“踏雪无痕”?这时,周医生立刻明白了,这个木马程序就是TinyRAT。
木马的技术特点
TinyRAT是一款全新的远程控制软件,它最大的特点之一就是服务端程序“短小精悍”,通过FSG压缩后只有12KB大小,所以非常适合用于网页木马、文件捆绑等操作。
另外,由于木马调用SvcHost.exe服务,同时使用了一些程序替换技术,所以程序可以在卡巴斯基默认的设置下,随机自动启动并轻松穿透防火墙的拦截。
木马隐藏得太深
周医生打算从木马的启动项和进程开始下手,接着就可以顺藤摸瓜然后将病毒一网打尽。首先运行System Repair Engineer,点击“智能扫描”按钮后选择“所有的启动项目”和“正在运行的进程”选项,接着对系统进行一个全方位的扫描。
当程序扫描完成后,周医生从提交的报告中并没有看出任何的可疑之处(图1)。周医生心里想:这个木马程序果然隐藏得够深啊!
既然通过传统的方法不能找出木马的相关内容,那么这个木马程序该如何查找分析呢?这时周医生看到系统栏中的网络状态窗口,想到我们可以通过查看进程再进行数据传输,这样就可以查找到木马程序的进程。
于是关闭系统中所有运行的程序,接着运行木马辅助查找器。再点击“端口信息”标签列表,果然发现有一项Svchost进程在进行数据传输,这里我们记下该进程PID值(图2)。
PID值:是进程标志符。PID列代表了各进程的ID,也就是说PID就是各进程的身份标志。打开系统的“任务管理器”并点击“进程”标签,接着点击“查看”菜单中的“选择列”命令,然后在弹出的窗口中选择“PID”一项。这时你就能看到进程列表中的PID值了,PID值越小越好。
发现木马真身
点击“进程监控”标签,从列表中选中前面那个PID值的Svchost进程后,在下面的模块列表中果然发现了一个既没有“公司”说明,也没有“描述”信息的可疑DLL文件。
根据文件的路径信息找到SysAdsnwt.dll文件,根据它的生成时间可以确认这个文件就是木马的服务端文件(图3)。
然后周医生开始寻找木马程序的启动项。既然已经知道木马程序利用了Svchost进程,我们还是通过它来进行查找。我们知道Svchost进程其实就是“Service Host”(服务宿主)的缩写,它本身并不能给用户提供任何服务,而是专门为系统启动各种服务的。
由于系统服务在注册表中都设置了相关参数,因此Svchost通过读取某服务在注册表中的信息,即可知道应该调用哪个动态链接库。这样只要查找到调用SysAdsnwt.dll文件的系统服务,就可以查找到木马的启动项。
清除木马很简单
现在看看如何对TinyRAT木马进行卸载清除。首先运行注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入查找内容为“SysAdsnwt.dll”。
由于在注册表中服务下边有一个Parameters的子键,其中的ServiceDll表明该服务由动态链接库负责,所以凡是查找到名为ServiceDll的项目的统统删除。
接着在“木马辅助查找器”中选择“进程监控”标签,选择木马利用的Svchost进程后点击窗口的“终止选中进程”按钮即可。最后进入系统的System32目录中,将该DLL文件删除就完成了木马的清除工作。
如何清除征途木马
现在木马病毒的传播方式越来越来隐蔽,让不少用户防不胜防。特别是针对某款网游的盗号木马,如果不加以控制,将给这款网游带来毁灭性灾难。最近针对《征途》游戏出了一款木马,它的隐藏方式相当狡诈,非常难以发现。不过,对于这类劣迹斑斑的病毒,安全诊所的裘文锋医生早已见怪不怪了。下面就帮史玉柱揪出这款针对《征途》游戏的木马。www.sq120.com推荐文章
征途木马档案
Svhost32.exe征途木马可以盗取《征途》的密码、其他游戏密码、IM工具密码等等。感染病毒之后,会生成Svhost32.exe、Rundl132.exe进程、msccrt.exe进程等,这些迷惑性进程并不是木马的核心,真正的主谋其实躲藏在阴暗处。该木马的杀手锏应该是插入到Explorer.exe进程的DLL文件。
Svhost32进程“出卖”征途木马
今天安全诊所迎来了一个就诊者。从他咬牙切齿地叙述中,裘医生了解到小王对该病毒深恶痛绝。这也不奇怪,病毒盗取了他的征途游戏的密码,让他损失不小。
盗取密码的一般是木马病毒,那么到底是哪种木马呢?从小王描述的病毒发作特征中,裘医生发现病毒修改了IE的默认主页为http://u4.sky99.cn/。
该木马占用了大量系统资源,使系统稳定性大大下降。在任务管理器的进程窗口出现了Svhost32.exe进程,疑似病毒进程,关闭之后重启系统,仍然会出现。木马占用了网络带宽向黑客发送密码信息,而且把自己的线程插入了系统关键进程。
另外获取用户的密码信息的方式也极其危险,极易导致系统崩溃。病毒还关闭了瑞星杀毒监控。通过小王的叙述,裘医生发现这个系统的情况和中Svhost32.exe征途木马后的情况对上了号,因此,当即就开始诊治起来。
去除木马病毒的伪装
由于Svhost32.exe征途木马有一些没有破坏性的伪装文件,裘医生决定先去除这些垃圾文件。
打开了IceSword,裘医生很快便在其进程选项中发现了Svhost32.exe进程的文件是“C:\Windows\Download\Svhost32.exe”。
右键单击该进程选择“结束进程”命令即可,接着进入该目录删除该文件。同样的,Rundl132.exe进程的文件是C:\windows\rundl132.exe,结束进程后也删除该文件。
同样的,发现msccrt.exe进程的文件是C:\windows\msccrt.exe,结束进程后也删除该文件。由于这些进程都能自启动,打开System Repair Engineer来清除自启动项目。打开程序后,选中“启动项目”时弹出了两次警告信息框,默认为空的注册表值load被修改成了“C:\windows\rundl132.exe”用以启动加载rundl132.exe这个病毒进程。
清空load值来防止病毒自启动。接着删除值为“C:\windows\Download\svhost32.exe”的启动项目xy和值为“C:\DOCUME~1\ADMI NI~1\LOCALS~1\Te mp\upxdn.exe”的启动项目upxdn。
由于病毒试图窜改UserInit项目来达到运行自己的目的,不过这次并未进行实质性修改,只是破坏了原来的值,因此把UserInit项目重新修改为正常的“C:\windows\system32\Userinit.exe”(不包括引号)即可。
幕后主谋现身
裘医生清除完这些病毒文件,下面就是让插入Explorer.exe进程的病毒文件现身了。打开了《超级巡警》,选择“进程管理”选项,根据病毒发作时间很快便发现了位于“C:\Program Files\Common Files\Microsoft Sha red\MSINFO”的可疑文件xiaran.dat;位于“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp”的可疑文件upxdn.dll和位于“C:\Windows\system32”的可疑文件msccrt.dll。这些文件不但以黄色警告色显示,而且文件属性显示创建时间都是病毒发作期(图4)。
主谋就地正法
狡猾的主谋已经被发现了,下面就开始清除这些文件吧。裘医生选中这些文件,右键单击选择“强制卸载标记模块”命令,这样这些文件就不能得到Explorer.exe进程的庇护了。
接着就可以进入这些文件的目录逐个删除了。完成之后,重新启动计算机,未发现病毒进程,系统运行也稳定了。这说明病毒已经被成功清除了。
Svhost32.exe征途木马,一般通过浏览恶意网站来传播。因此,我们安装杀毒软件开启网页和文件实时防护功能,可以比较好地防范这类木马。开启下载软件(如:迅雷、快车)的文件病毒监控也是必要的。