轻松搞定上兴木马
网络安全
最近一大批全新的木马程序在网络中流窜。这些木马程序不但功能强大,并且针对现如今流行的杀毒软件和网络防火墙都采取了很多措施。很多用户都吃了它们的亏。上兴木马就是新兴的盗QQ木马中的一种。下面我们就来看看来自汕头的扫黑尖兵阿宝是如何将这个“阴险狡诈”的木马程序从系统中清除的。
扫黑尖兵:阿宝
所在城市:汕头
使用系统:Windows XP SP2
今天上网后突然发现,昨天还好好的QQ却不能正常登录了,心想一定是中了某种盗号的恶意程序。于是马上升级自己系统中的卡巴斯基病毒库,接着对系统进行全方位扫描,结果一个可疑的文件都没有查到。
联想到如今的QQ程序采用了nProtect键盘加密保护技术,不但可以阻止恶意程序读取键盘信息,并且可以自检测键盘信息记录黑客程序。所以能盗取QQ密码的恶意程序并不多,其中最有名的恶意程序当数啊拉QQ大盗了,于是马上开始进行检测。
查找线索
首先打开系统的任务管理器,在“进程”列表中查看是否存在可疑的进程,结果没有找到。由此也可以知道这个盗号程序并不是传说中的啊拉QQ大盗,那不是它又是谁呢?通过仔细分析,认为该恶意程序肯定使用了某种方法将自己的进程在任务管理器中进行了隐藏,以至于让我发现不了。
运行IceSword,接着选择左侧工具栏中的“进程”按钮,很快一个红色的IE浏览器进程进入了我的视野(如图1)。凡是被IceSword标明为红色的进程,说明它是一个隐藏的进程。
看来这个恶意程序使用了线程插入技术,将自己的进程插入到IE浏览器的进程中。为了更好地获得有用的线索,我在这个IE进程上单击鼠标右键,再选择菜单中的“模块信息”命令。然后在弹出的“进程模块信息”窗口中进行认真的查找,结果并没有发现一个可疑的DLL文件。
更换思路
我心想既然从进程中找不到有用的线索,干脆换一个思路从恶意程序的启动项查起。点击开始菜单中的“运行”命令,在弹出的窗口中输入命令:msconfig,打开“系统配置实用程序”窗口,点击其中的“启动”标签,并没有查找到可疑的启动项。
接着点击“服务”标签,选中“隐藏所有Microsoft服务”选项后,以便将系统自带的服务过滤掉,但从剩下的服务中也没有查找到可疑的启动服务(如图2)。
这时我再次想到了IceSword,既然它可以找到隐藏的进程,看看是否可以找到隐藏的服务。马上点击左侧工具栏中的“服务”按钮,在右侧窗口马上显示出服务的服务名称、当前状态、描述,以及服务模块路径和服务相关的详细内容。
虽然这些服务中并没有显示红色,但是经过认真查看还是发现了一个服务名称为“Windows_rejoice”,描述信息为“上兴远控4.0服务端”的可疑服务(如图3)。
通过上网查询,发现这是一个名为“上兴”的全新木马程序的服务端程序在安装时所留下的服务,这款木马程序集中了众多的远程控制命令,其中就包括“内存搜索截取”、“杀QQ键盘锁”等功能。
木马清除
既然已经弄清楚恶意程序的“真身”,现在就开始清除工作,清除工作还是通过IceSword来帮助完成。首先在“进程”列表中选择IE进程,并且通过右键菜单中的“结束进程”命令来结束它。接着点击工具栏中的“注册表”按钮,展开注册表键值到如下这一项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,再找到一个名为“Windows_rejoice”的服务并删除(如图4)。
然后点击IceSword工具栏中的“文件”按钮,最后进入C:\Program Files\Common Files\Microsoft Shared\MSInfo\删除服务端程序文件即可完成对木马的清除工作。
点评:通过我对以上木马的检测来看,上兴木马的清除并不困难,但是我们却发现该木马在自我保护上下了不少功夫,比如隐藏服务端程序、隐藏启动服务等,另外服务端程序还不用生成DLL文件、无驱动隐藏,这些都增加了用户发现它的难度。不过好在阿宝同学在经过认真的分析以后,正确地选择了相应的检测工具,从而让木马露出“马脚”。并且在分析检测遇到阻力后成功转换思维,为最终成功清除木马程序打下了坚实的基础。