“幽灵”,看你往哪躲
网络安全
有一种名为“广外幽灵”的盗号工具可以盗取各种系统中用户的多种账号,除此以外它还采用了一种特别的注入技术,可以顽固地驻扎在咱们的系统里面。想清除,难!但是,我们知道,邪不胜正,只要它留下一点蛛丝马迹,我们就可以彻底清除它。下面我们就来看看来自大连的扫黑尖兵唐军是如何将这个“幽灵”木马程序从系统中清除的。
扫黑尖兵:唐军
所在城市:大连
使用系统:Windows XP SP2
今天晚饭后照常登录QQ和游戏,结果都无法登录,再联想到这几天磁盘的异常转动,知道自己一定是中了黑客的木马程序,我被盗取了登录密码。是什么木马程序这么厉害,能够一次成功盗取我全部的账号和密码。
经过向网友询问后明白,只要拥有“键盘记录”功能的木马程序都可能做到。不过结合到磁盘的异常转动,很可能是主要的键盘记录器在“作恶”。
这种木马不像盗号型的木马只能针对一种程序进行账号盗取,而是可以同时对多个程序的键盘输入进行记录。这种木马在盗取了相应的账号后,会通过电子邮件等方式将获取的信息发送出去。我可不会让这种情况再延续下去了,赶快准备清除木马。
查找线索
首先通过密码保护功能将被盗的账号收回,接着运行 《木马辅助查找器》,点击“启动项管理”选项。很快就从“注册表启动项”标签窗口中找到了一个可疑的启动项(如图1)。
切换到“进程监控”选项卡,点击其中的“保存列表”按钮,将当前的进程保存到一个文本文件中。打开文本文件,搜索可疑程序的名称Scanregw.exe,结果没有找到。上网搜索得知,这个“网络大盗”原来是大名鼎鼎的“广外幽灵”。看来这个木马程序一定是采用了线程插入技术,通过分析发现木马是插入到资源管理器的进程中的。
接着在“进程监控”标签中找到并选中Explorer.exe这个进程后,点击窗口的“终止选中进程”按钮就可以终止该进程。最后进入系统的System32目录中,将Scanregw.exe删除即可。
斩草除根
本以为这么轻松的就将木马程序清除干净了,于是马上上网继续我的网络游戏,也是没有多久磁盘又一阵狂转。这次我立即关闭程序并下网查看,果然在注册表的启动项中又出现了该木马程序的启动项。心想可能是木马程序窜改了某些文件关联所致,于是再根据上面的方法清除病毒以后,又切换到“启动项管理”选项下的“文件关联管理”标签,并没有发现相关的文件关联选项被修改(如图2)。
再次回到“进程监控”标签,认真查看列表中的每一个进程,果然很快就发现了问题。我们都知道TIMPlatform.exe是QQ运行时所需的一个宿主程序,正常情况下它应该在QQ目录下,而我的TIMPlatform.exe却在系统的目录下(如图3)。
于是我迅速进入系统目录,找到TIMPlatform.exe,通过对文件属性、程序大小等对比,发现这确实是QQ自带的程序。于是又来到QQ的安装目录,找到TIMPlatform.exe,从图标上就看出了问题。点击鼠标右键,发现可以通过WinRAR进行解压(如图4)。
解压后发现,这个假冒的TIMPlatform.exe是由真正的TIMPlatform.exe和木马程序捆绑而成的,然后将这个假冒的TIMPlatform.exe替换QQ目录中原有的程序。这样当启动QQ的时候,就会激活这个假冒的TIMPlatform.exe,接着它自动解压并运行捆绑的TIMPlatform.exe和木马程序,从而造成木马程序像“幽灵”一样难以清除。
现今通过各种即时通讯软件进行恶意程序、病毒传播的情况越来越多,但是像这种挖空心思利用QQ的关键进程进行木马种植的并不多,这样不但不会影响QQ的正常运行,同时也能让木马程序自动的运行。
唐军通过认真的分析和查看,顺藤摸瓜将隐藏的木马程序连根拔起,最终成功的将木马程序清除掉。其实我们很多网友单一的认为,只要将隐藏在系统目录中的木马程序清除干净就万事大吉了。其实不然,有很多恶意程序并不会将母体文件隐藏在系统目录中,而是躲在某个不起眼的角落里,定时运行让人防不胜防。