追杀变种冰河
网络安全
大家对冰河木马想必是非常熟悉了,冰河木马可以说是木马中的老资格了。现在基本上所有的杀毒软件都能够查杀这款木马。但正因为如此,很多朋友往往对冰河木马不再有警惕性。即使发现自己的电脑中了木马,大家也不会怀疑到冰河木马身上。就因为这种大意,冰河木马的变种渐渐抬头,开始在网络上行凶。这不,上海的张勇就着了变种冰河木马的道。一起来看看,本期扫黑尖兵张勇是如何追杀变种冰河木马的。
扫黑尖兵:张勇
所在城市:上海
使用系统:Windows XP SP2
症状描述
网速明显下降,有时候甚至连网页都无法打开。接着是自己并没有对系统进行任何的操作,但是硬盘灯却闪个不停。甚至还有更夸张的,比如突然鼠标自己动起来,并且有规律地移动;桌面打开的窗口也不时地突然最大化、最小化、或关闭窗口;甚至有人突然给你发送一些莫名其妙的信息。
虽然通过系统的NET SEND命令可以发送信息,但我早已经将系统的Messenger服务停止了,所以不可能接受到使用这种方式传送的信息。升级杀毒软件的病毒库,以求查杀这个木马。可令我失望的是,一个病毒也没有查到。
查找木马线索
既然怀疑是木马捣鬼,我开始查找可能的蛛丝马迹。首先打开命令提示符,输入命令netstat -ano后查看结果,结果发现系统开放了一个4466的TCP可疑端口。为了了解是什么程序开放的这个端口,我马上上网通过搜索引擎进行查找,结果一无所获。于是怀疑可能是某种全新的木马程序,因为现在的木马程序很多都包括自定义端口的选项。
我从刚才的结果中得知,开放这个端口进程的PID是1844。于是马上调出Windows 任务管理器,从进程列表中找到PID为1844的进程,进程名称是svch0st.exe。表面上看svch0st.exe和常见的系统进程svchost.exe差不多,但入侵者利用普通用户对系统进程的不了解,利用阿拉伯数字1和0,来代替英文字母I和O,使我差点误认为svch0st.exe是系统进程。
找到可疑的进程以后,我接着打开注册表编辑器。我知道现在流行的木马程序的启动方式,包括注册表启动、系统服务启动、ActiveX插件等多种启动方式。首先找到注册表RUN启动项,即HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,发现了可疑的启动项,该键值正好对应着可疑进程svch0st.exe。
将木马赶尽杀绝
本以为会遇到某个很难清除的木马程序,没想到这么快就找到了木马程序的进程和启动项,于是准备开始清除木马。首先在任务管理器中结束svch0st.exe这个进程。稍等一会,再查看,发现该进程并没有重新出现。接着在注册表中删除木马的启动项,然后通过系统的搜索功能来查找svch0st.exe这个文件,并成功将它清除。
重新启动系统,本以为这样就已经脱离了木马的“魔爪”,谁知道当我打开一个文本文件后,系统又变得越来越慢,CPU的使用率达到100%。打开任务管理器,发现那个svch0st.exe又位列众多进程之中。
于是重新清除,为了这次能够一次性将它彻底清除,我改变了操作方法。首先在系统中找到svch0st.exe,然后将它复制到桌面,接着通过UltraEdit打开这个文件,希望能从中找到可用的信息。
结果非常幸运,我在文件的编码中发现了“glacier”这个字符,我简直不敢相信自己的眼睛。glacier?不就是大名鼎鼎的“冰河”木马吗?现在居然还有人在用这个“古老的”木马程序,还把我整得这么惨。
既然是“古老的”木马程序,为什么连包括最新病毒库的杀毒软件都不能查杀呢?通过了解,知道这些冰河版本都是进行了免杀处理的,而杀毒软件又是通过特征码进行杀毒的,所以往往不能在第一时间进行查杀。另外,虽然冰河服务端程序的隐藏做得很简单,但是它修改了TXT、EXE两种类型文件的关联,所以先前表面上清除了木马程序,但是一运行文本文件,服务端程序又会激活。
明白了这些以后,按照前面的步骤清除木马程序后,接着通过瑞星注册表修复工具将修改的文件关联进行修复,重新启动系统后,这个变种冰河被真正地成功清除了。
冰河作为一款功能强大的国产木马,曾经在国内流行极广,几乎每一百台计算机就有两三台寄存着这种木马。冰河木马的作者黄鑫早已停止了对冰河的开发。现在大家使用的冰河版本,大多都是冰河爱好者通过对原版本的修改而得来。这些修改版主要更改原版本的服务端的通用密码、图标、名称等等,并进行免杀处理。但并没有对冰河原有的基本特点进行更改,所以在查杀上也显得较容易。
其实作为冰河木马的受害者,完全可以通过冰河原作者黄鑫发布的兼带蜜罐程序的冰河陷阱(下载地址:http://www.skycn.com/soft/12355.html)对服务端程序进行自动清除。 除此以外,冰河陷阱还可以伪装成“冰河”服务端,对入侵者进行欺骗,并记录入侵者的所有操作的功能。
另外通过UltraEdit、WinHex等十六进制工具对可疑文件进行查看,往往可以找到该文件的一些特征字符,比如NTdhcp、GrayBird、BlackHole这些字符就分别针对啊拉QQ大盗、灰鸽子、黑洞等。