我不做玩偶——剿杀阴影中的木偶木马
网络安全
病人:我的计算机系统在最近一段时间里,系统硬盘老是不定时狂转。通过端口检测竟然发现有一个Svchost进程,在使用60000端口进行数据的传播。医生,这是由于什么问题造成的呢?
医生:通过你的简单介绍,我认为可能是系统中存在某种木马程序。通过端口我们就可以更快地分析是那种木马程序,因为每种木马程序默认使用的端口都不同。比如灰鸽子木马使用的是8000端口,而新版的PcShare木马现在使用的端口是3030。而使用60000端口的木马只有一个,那就是最新版本的木偶木马。
木偶木马清除方案
第一步:首先运行安全工具IceSword,点击左侧工具栏中的“进程”按钮,从中并没有发现被标明为红色的进程,说明该木马并没有使用线程插入技术。看来只有从端口着手开始查找,点击左侧工具栏中的“端口”按钮,果然发现一个Svchost进程在传输数据(如图)。于是记录下该Svchost进程的PID值。
PID值是进程标志符。PID列代表了各进程的进程ID,也就是说PID就是各进程的身份标志。打开系统的“任务管理器”并点击“进程”标签,接着点击“查看”菜单中的“选择列”命令,然后在弹出的窗口中选择“PID”一项。这时你就能看到进程列表中的PID值了,PID值越小越好。
第二步:现在再运行System Repair Engineer,点击工具栏中的“启动项目”按钮,很快发现一个没有名称的启动项,该启动项指向的文件名称为host32.Com。通过对启动项的查看发现,它就是利用ActiveX启动的,正好符合木偶木马的启动方式。
第三步:点击IceSword工具栏中的“文件”按钮,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件host32.Com。经过检测发现该文件不但进行了时间的伪装,而且还进行了隐藏等一系列操作。
第四步:现在我们就开始进行木偶木马的清除操作。首先通过IceSword的进程管理功能,接着在“进程管理”窗口里找到相同PID值的Svchost进程,选中它后通过鼠标右键中的“结束进程”命令结束它。
再选择程序中的“文件”按钮,对木马文件进行最后的清除操作。在系统的Web目录找到host32.Com文件后,点击右键菜单中的“强制删除”命令。最后再利用System Repair Engineer,在启动列表窗口中选择木马的启动项后,点击“删除”按钮就可以完成了木马服务端的清除操作。
要想成功防止被木偶木马控制,需要分两个主要的步骤来进行操作。首先修复系统中已经存在的安全漏洞,以及更新应用软件到最新的版本。其次就是使用《IE卫士》等安全工具,来对各种各样的网页木马进行有效的拦截操作。
总结
以前木马程序为了进行更好的隐藏,常常使用线程插入技术来操作,但是这种方法现在很容易被安全程序查到。现在的木马程序又换了一种隐藏方法,不将服务端程序的线程进行插入,而是直接利用指定的进程来启动服务端,这样伪装的时候也将更加隐蔽。不过即使是这样,用户只要找到好的切入点,一样可以成功清除系统中的木马程序。