第三回:谨防Explorer.exe藏污纳垢
网络安全
危险等级:★★★★
曾经案例:从2004年起,一种名为MyDoom的蠕虫病毒肆虐全球。这是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可以上传并执行任意代码的后门。病毒运行后就会生成%sysdir%\Explorer.exe和%sysdir%\ctfmon.dll。
Explorer.exe原本善良
由于昨天上课迟到了,为了避免这种情况继续发生,八戒一大早就来到教室。没过多久,唐僧等人也纷纷来到。八点整随着上课铃声,谭教授缓步来到教室,看着同学们都坐好准备开始上课。按照惯例,谭教授询问了上节课后同学们的复习情况。这时悟空又想强出头,结果谭教授点名问了八戒,八戒说道:“上节课后我回去就用防火墙将iexplore.exe这个进程屏蔽掉,这样黑客就是利用了这个进程也让他无法控制。”听了八戒的回答,谭教授点头称赞。
大家认真看完相关介绍后,唐僧说道:“看来这个MyDoom病毒同样也是将自己的文件名伪装成Explorer.exe,从而想迷惑大家,对吧,教授?”谭教授微笑着回答:“不错,通过名称来进行伪装,一直是包括病毒在内的恶意程序的一种常用的方法。另外由于一个磁盘目录中不可能存在两个相同名称的同类文件,所以有的时候名称被伪装成exp1orer.exe(用数字1代替字母l)或expl0rer.exe(用数字0代替字母o)。这种情况一般出现在木马程序中,因为在木马服务端程序的配置过程中用户可以自定义服务端程序的名称。”
小知识:Explorer.exe是微软Windows操作系统的程序管理器或者资源管理器,它用于管理Windows系统的图形界面,包括开始菜单、任务栏、桌面和文件管理。由于Explorer.exe属于系统进程,所以当系统一启动这个进程就存在,直到用户关闭系统为止。如果用户强行删除该进程会导致系统蓝屏,Windows图形界面无法使用。
Explorer.exe易被利用
悟空接着问道:“那么如何分辨这个Explorer.exe进程是系统进程还是恶意文件呢?”八戒说道:“同样通过分析Explorer.exe进程的路径,就可以简单快捷地判断这个Explorer.exe进程的真伪。真正的Explorer.exe进程是在系统的%systemroot%目录中的,如果不在这个目录中,那肯定是‘李鬼’。这里我给你介绍一款名为《木马辅助查找器》的安全小工具,它的进程查看功能比任务管理器强大许多。运行木马辅助查找器,点击窗口中的“进程监控”标签,从中就可以查看到当前的全部系统进程(图1)。”
小贴士:Explorer.exe进程除了被各种恶意程序伪装以外,最主要的还是被木马程序通过线程插入技术进行利用。常见的利用Explorer.exe进程进行线程插入的木马有黑洞、广外幽灵、七剑键盘记录器、禽兽(图2),以及最新的魔波病毒变种等,它们都是将自己的服务端程序插入到系统的Explorer.exe进程中,从而让用户在任务管理器中找不到木马服务端程序的进程。
沙僧心想:怎么又是线程插入啊,看来这些高危进程都是容易被木马利用的,于是问道:“八戒,怎样才能知道有木马程序插入到Explorer.exe进程中呢?”看到八戒在那里不知所措,教授笑着解释道:“只需要在《木马辅助查找器》的‘进程监控’标签中的‘DLL文件’窗口,或IceSword窗口使用‘模块信息’命令都可以检测到(图3)。”
“那么如何删除这些利用Explorer.exe进程的恶意程序呢?”悟空接着问道。教授答道:“我们只需要首先点击窗口的‘终止选中进程’按钮来终止Explorer.exe进程,接着到磁盘目录中删除恶意文件本身,以及它们的启动项等内容。在Windows 9X中,这个进程是运行系统时所必需的。但是在Windows 2000/XP和其他Windows NT内核的系统中,Explorer.exe进程并不是系统运行时所必需的,所以可以用任务管理器来结束它,并不影响系统的正常工作。”
小贴士:如果用户想运行其他软件,但此时桌面上一片空白,怎么办?首先通过组合键“Ctrl+Alt+Del”调出任务管理器,然后点击“文件”菜单下的“新建任务”命令,输入你想要打开的软件的路径和名称即可。比如你输入Explorer.exe后,桌面就恢复正常可以使用了。需要特别说明的是,重新启动Explorer.exe进程后,有些软件在任务栏系统托盘的小图标会显示消息,但该软件还是在正常运行当中。如果觉得有些不方便,可以再次打开该软件来显示小图标。
Explorer.exe进程的相关内容讲完以后,谭教授对同学们说道:“各位同学,今天到此为止。下节课我们将讲解另一个高危的系统进程RunDll32.exe。”