擒拿“幽灵大盗”
安全阵地
笔者注意到目前的木马技术的发展主要方向之一,就是如何获得更长的存活期,即如何更高效地隐藏自己,不被用户和反病毒软件发现,而采用的手段有反弹端口、远程线程插入技术等。最近安全公司就截获了首例“隐形病毒”Backdoor/Byshell.a(隐形大盗)。
病毒特征
该病毒实际上是一种系统级后门程序,感染后会在“%SystemDir%\”目录下释放以下两个文件:ntboot.exe(病毒加载模块)和ntboot.dll(病毒主程序)。并在注册表中添加启动项:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtBoot]
"Driver Booting Service" = % System
Dir %\ntboot.exe –install
以使它在Windows启动时可以作为服务自动执行。与普通病毒不同的是,“隐形大盗”病毒主程序成功加载后,会将自身作为线程插入到系统进程SPOOLSV.EXE(提示:该进程主要用于管理缓冲打印机和传真作业)中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉和手工清除病毒。
病毒感染成功后,会留后门在TCP端口138,黑客通过指令,可以完成远程关闭用户计算机、结束用户进程、下载用户文件等操作,给用户带来重大的安全隐患。
手动清除
由于系统正常启动时,病毒没有独立的进程,这给发现和清除病毒带来了很大难度。用户首先要找一款进程分析软件,例如《Windows优化大师》目录下的WinProcess.exe程序。运行该文件,在进程列表中找到“X:\windows\system32\SPOOLSV.EXE”进程,然后在“模块信息”中查找是否有“ntboot.dll”线程。如果有,说明木马已经侵入,由于不能单独杀掉线程,可以立即结束“SPOOLSV.EXE”进程。然后按照前面所述搜索系统中是否残存有病毒文件并删除它们。