彻底清除Pcshare木马
网络安全
最近一种利用系统驱动进行服务端隐藏的方法逐渐在木马当中开始流行,而国产木马程序Pcshare就是其中的典型代表。由于系统驱动利用了系统最底层的协议,杀毒软件在进行查杀的时候也很难将木马程序彻底清除。下面我们就来看看来自唐山的扫黑尖兵潘伟是如何将这个杀毒软件都“头疼”的木马程序从系统中清除的。
扫黑尖兵:潘伟
所在城市:唐山
使用系统:Windows XP SP2
最近电脑的鼠标莫名其妙地移动,同时硬盘在没有任何操作的时候也自己读写,本以为是长时间没有进行磁盘整理,或是磁盘出现了坏磁道的原因。通过采用一些方法,排除了磁盘出现问题的猜想,那么是什么原因导致硬盘乱转呢?
我怀疑系统中可能存在恶意程序,尝试了多种安全软件,却没有发现任何问题。虽然如此,我还是有些担心。果然没过几天,我刚刚充值的10个Q币就不翼而飞。Q币被盗最有可能的就是被黑客种植了木马程序。经过前前后后的分析,可以肯定的是,我的系统存在恶意程序了。
查找线索
首先打开系统的任务管理器,在“进程”列表中查看是否存在可疑的进程,结果没有找到。通过分析,明白没有找到黑客的进程主要由两个原因,一是木马程序使用了线程插入技术,将自己的进程插入到别的进程中;另一种就是通过Rootkit技术将木马程序的进程在任务管理器中进行了隐藏。
运行IceSword这款工具,它是一款优秀的检测工具,使用了大量新颖的内核技术,使得这些后门无处可躲。依次点击IceSword左侧工具栏中的功能按钮,当选择SSDT按钮后,在列表中发现了几个显示为红色的bcekixqt.sys驱动(图1)。
我想既然显示为红色,说明这些驱动可能有问题。于是通过Windows系统自带的搜索功能进行查找,结果居然没有找到这个文件,我想这个驱动文件应该和木马程序有关。于是上网搜索是哪些木马程序使用了驱动文件,在众多的搜索结果中我将目光锁定在Pcshare这个木马程序上。
木马清除
通过对Pcshare木马的了解,知道木马将自己的进程注入到iexplore.exe或winlogon.exe进程中。同时,木马还注入到驱动程序进行自身的隐藏,这样用户就很难发现木马的存在了。当用户中了Pcshare木马后,木马会在系统的system32目录下产生三个文件:*.dll *.drv *.ime,另外在system32\drivers\下还会产生一个:*.sys。
由于木马进程的保护功能,我们首先需要对IceSword进行设置。单击“文件”中的“设置”命令,将功能“禁止进程创建”和“禁止协件功能”选中(图2)。
设置完成后,我们利用IceSword注册表编辑功能来结束木马启动服务,分别定位注册表到如下键值:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bcekixqt]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bcekixqt]
然后删除bcekixqt这个主键。请大家注意,主键的名称和前面发现的驱动名称是一样的。再利用IceSword中的“文件”查看功能,在系统的System32目录中找到文件“bcekixqt.dll”、“bcekixqt.drv”后删除(图3)。按照同样的方法,在System32文件夹的drivers目录中,找到驱动文件bcekixqt.sys并删除,最后重新启动系统即可将PcShare服务端彻底清除。
通过我的了解,现在网上已经出现了一款“Pcshare 清除器”(下载地址:http://download.cpcw.com)。如果你被他人非法安装了Pcshare服务端程序的话,可以使用该清除器检测清除。清除此类驱动级木马,关键是对于隐藏进程的查看和注册表服务项的删除。
对于很多顽固的木马程序,我们最好是在纯DOS下进行查杀,比如江民、金山、瑞星都有相应的DOS杀毒工具,用户只需要到纯DOS下就可以进行彻底查杀。因为以后利用驱动进行隐藏的恶意程序将越来越多,除了常见的木马后门程序外,很多流氓软件也采用了该技术。大家在看了这篇文章以后,就可以利用类似的方法来清除其它使用驱动进行隐藏的恶意程序。