“七剑”木马奈我何

网络安全

2006年6月12日

小心驶得万年船,这话用在网络上也非常的实用。最近Q币被盗事件频频发生,各种各样的盗号工具也层出不穷,随着电视连续剧《七剑下天山》的热播,一款名为“七剑键盘记录器”的木马也在网络中泛起了不小的波澜。由于这款程序使用了线程插入技术,所以大家通过任务管理器是很难发现它的踪迹的。但魔高一尺、道高一丈,下面我们就来看看来自北京的扫黑尖兵阿熊是如何清除 “七剑”的。

扫黑尖兵:阿熊

所在城市:北京

使用系统:Windows XP SP2

今天路过好友小马的上班场所,于是就去看看这半年都没见的好友。来到小马的办公室,同事说他出去办事去了。于是我便坐到他的办公桌前,看着桌面上QQ正开着,于是便上去和我们的“狐朋狗友”打招呼。当我们正聊得热闹之时,突然在桌面弹出一个提示窗口,提示框的标题注明“七剑键盘记录器”。看到“键盘记录器”几个字,我的额头开始直冒冷汗,心想小马的电脑系统一定是被植入了键盘记录器,而他却浑然不知。现在我就帮他将系统中的木马清除出去。

查找线索

我首先从网上下载木马辅助查找器(下载地址:http://www.ttud.com/soft/2394.htm),它是我最常用的一款系统安全检测工具,通过它来检测系统中可疑的进程、端口、系统服务、启动项等等。首先运行木马辅助查找器,点击窗口中的“启动项管理”标签,其中包含了注册表启动项、文件关联管理、后台服务管理和AUTOEXEC.BAT四项内容。

我很快就从“注册表启动项”中发现了问题,在最常见的启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中查找到一个键值为“qijian.exe”的可疑启动项,因为这个键值的拼音正好是“七剑”(如图1)。通过这个启动项,“七剑”就可以随着系统而自动启动。

23-f9-1.jpg
图1

接着打开系统的任务管理器,在“进程”列表中并没有看到包括“qijian.exe”在内的可疑的进程。既然它会随着系统的启动而自动启动,为什么在进程列表中没有它的身影呢?看来该记录器一定是进行了“无进程”的处理,很有可能采用了线程插入技术,将自己的进程插入到别的进程中。

运行“木马辅助查找器”并点击其中的“进程监控”标签,接着分别对Iexplore.exe、Winlogon.exe、Explorer.exe等系统进程的模块进行查看。因为我知道大部分恶意程序都会将自己的进程插入到这些系统进程之中,自己对系统常用的DLL等文件有所了解,这样就可以轻松发现可疑的DLL文件了。果然,很快就在资源管理器的进程Explorer.exe中发现了可疑的“qijian.dll”(如图2)。

23-f9-2.jpg
图2

为了证实“七剑”只将进程插入到Explorer.exe中,也为了后面能一次性成功地清除“七剑”,我使用“卡卡进程管理器”对“qijian.dll”进行了搜索(如果你不想安装卡卡上网安全助手,可以从http://www.nohack.cn/bbs/thread-1260-1-1.html下载网友提取出来的小工具),结果只发现了一处“qijian.dll”。

我经过测试,发现“七剑”的服务端程序是根据用户设置的窗口标题关键字来截取指定窗口的键盘输入的;服务端程序在运行以后,确实只将服务端插入到了Explorer.exe。

清除木马

既然木马程序的启动项、释放目录、运行方式等信息都已经清除,我就开始准备清除“七剑”木马。点击木马辅助查找器中的“启动项管理”标签,选中“七剑”木马的启动项后,点击“删除选定”按钮即可。接着切换到“进程监控”标签,找到并选中Explorer.exe这个进程后,点击窗口的“终止选中进程”按钮就可以终止该进程。

最后进入系统的System32目录中,将qijian.exe和qijian.dll两个主程序删除即可。由于前面我终止了Explorer.exe这个进程,所以桌面暂时出现了一片空白,通过“Ctrl+Alt+Del”组合键调出任务管理器,然后点击“文件”菜单下的“新建任务”命令并运行Explorer.exe后,桌面就恢复了正常。

刚刚完成木马的清除,好友就回来了,于是我立即将刚刚发生的一切告诉他,并要求他立即更改他的QQ密码,以防万一。

通过作者的介绍,我们了解到“七剑键盘记录器”是通过窗口标题的关键字进行记录的,而其他的一些常见键盘记录工具都是通过程序进程来判断。所以通过以往的方法都很难起到防护的作用,其实针对这种通过标题栏进行记录的木马程序,我们只要对标题栏进行伪装,就可以起到保护的作用。

这里为大家介绍一款名为《帐号守护者》的绿色程序(下载地址:http://0126.cn/soft/6109.htm)。它有两大绝招,即“标题栏伪装”和“一键双雕”。程序运行后,点击窗口中的“增强模式”选项,再勾选“标题栏伪装”后就可以对任意窗口的标题进行伪装,从而起到预防的功能。在这种保护模式下,恶意程序记录的就会是一堆乱码,甚至根本无法进行正常的键盘输入记录。