Board logo

標題: 如何清除Evilotus木馬 [打印本頁]

作者: keven2521    時間: 2010-2-12 01:24     標題: 如何清除Evilotus木馬

木馬層出不窮,可是它們推出後很快就會被殺毒軟體查殺。於是,駭客通過各種免殺方法讓木馬躲過殺毒軟體的查殺。可惜好景不長,現在許多殺毒軟體都搭配了監控功能,所以木馬的種植就越來越困難。但是正所謂“道高一尺,魔高一丈”,現在已經有木馬程式可以躲過某些殺毒軟體的主動防禦功能。www.sq120.com推薦文章
木馬繞過主動防禦
  安全診所的值班醫生張帆,正在查詢一些資料。這時推門進入一位病人。病人稱最近一段時間,很多和自己相關的網路帳戶都被盜了,想讓醫生看看是什麼原因。
  張帆醫生詢問患者有沒有安裝殺毒軟體。患者稱自己安裝的殺毒軟體是最新版本的卡巴斯基,不但每天準時更新病毒庫,並且還打上了系統的所有補丁。
  聽了病人的講述,張帆醫生說:在排除系統漏洞情況下,能夠繞過卡巴斯基的防禦的木馬就只有Evilotus。
Evilotus木馬檔案
  Evilotus木馬是由“一步江湖”推出的一款國產木馬程式。這款全新的木馬程式不但採用了反彈連接、線程插入、服務啟動等成熟的木馬技術,而且還有一些獨創的木馬技術。比如它具有SSDT恢復功能,通過它可以輕鬆繞過卡巴斯基的防禦功能,實現對卡巴斯基殺毒軟體的免疫。
連接端口無法躲避
  張帆醫生明白,所有的木馬只要成功進行連接,接收和發送數據時必然會打開系統端口,就是說採用了線程插入技術的木馬也不例外。他準備通過系統自帶的netstat命令查看開啟的端口。
  為了避免其他的網路程式干擾自己的工作,首先將這些程式全部關閉,然後打開命令提示符窗口。張帆醫生在命令行窗口中輸入“netstat -ano”命令,這樣很快就顯示出所有的連接和偵聽端口。張醫生在連接列表中發現,有一個進程正在進行對外連接,該進程的PID為1872(圖1)。

  由於已經獲得了重要的資訊內容,現在我們運行木馬輔助查找器,點擊“進程監控”標籤,通過PID值找到可疑的Svchost進程。
  選中該進程,在下方的模組列表查找,很快就找到了一個既沒有“公司”說明,也沒有“描述”資訊的可疑DLL檔,因此斷定它就是木馬服務端檔(圖2)。看到該木馬使用了線程插入技術,並且插入的是系統的Svchost進程。

  順利找到木馬程式的進程以後,張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具,依次點擊“啟動專案→服務→Win32 服務應用程式”按鈕。
  在彈出的窗口中選擇“隱藏微軟服務”選項後,程式會自動遮罩掉發行者為Microsoft的專案,很快醫生就發現一個和木馬檔案名稱相同的啟動服務(圖3),因此斷定這就是木馬的啟動項。

清除木馬不過如此
  在木馬輔助查找器的“進程監控”標籤中,通過PID值找到被木馬程式利用的Svchost進程,選中它,點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標籤中的“後臺服務管理”選項,在服務列表中找到木馬的啟動項,選擇“刪除服務”按鈕即可。
  現在打開註冊表編輯器,接著點擊“編輯”菜單中的“查找”命令,在彈出的窗口中輸入剛剛查找到的木馬檔案名稱,當查找到和木馬檔案名稱相關的專案後進行修改或刪除(圖4)。最後我們進入系統的System32目錄中,將和服務端相關的檔刪除即可完成服務端的清除工作。




歡迎光臨 258!Game!!王朝 (http://258xd.com/discuz/) Powered by Discuz! 7.0.0