攻防博弈第五幕:清除DLL,绞死免杀的木马

网络安全

张桂月 · 2008年5月26日 第20期

博弈主题:木马查杀

技术难度:★★★★

重点知识:如何查杀免杀木马

网络商业间谍战中,有入侵者,就有防范入侵的高手。当被入侵方察觉到有人入侵时,他们就会采取各种措施,保护自己反击敌人。UU公司的黑客高手小蝶发现了黑客K使用的免杀木马,迅速进行了清除。

上期黑客K制作并发出了伪装的木马贺卡,并期待着自己的木马成功欺骗对方,入侵到电脑中。真正的好戏开始上演了……

黑客K成功入侵了UU公司,非常顺利。一个月后,接二连三的各种泄密迹象让UU公司的高层人士李飞不得不警觉,是不是什么地方出现了问题。他实在不愿意想信问题出在自己身上,但是种种迹象表明,泄密的源头直接指向了他的电脑。在犹豫了半天之后,他终于拿起了桌上的电话:“小蝶吗?我电脑可能中毒了。”

早上7点,小蝶来到UU公司李飞的办公室。这位UU公司雇佣的女黑客看起来比实际年龄更小,如果不刻意说明,几乎没有人会猜出这个很有气质的MM竟然是黑客。在和李飞简短的沟通后,她坐在了李飞的电脑前。

虽然此刻李飞因公司机密文件泄密而心急如焚,但是小蝶似乎并不着急,她从右手食指上取下一枚精美的蝴蝶戒指——这是她独有的标志,卷起袖子,才开始工作。进入李飞电脑后,她首先查系统的杀毒软件。

杀毒软件的病毒库是最新的,且能正常运行。随后她双击点开系统右下角的“本地连接状态”,她发现虽然自己没有做任何操作,但是“活动”栏中却显示有大量的数据包在飞快地发送。丰富的经验告诉她,这台电脑一定中毒了,而且是木马——免杀木马,不然电脑中的机密资料不会泄露出去。

小蝶迅速想好了计划,她要在清除木马之前做一个系统备份,以便将来用这个备份制作一个陷阱抓捕入侵李飞电脑的黑客。

备份含“毒”系统

小蝶从容地拔掉李飞电脑上的RJ45网线插头,从自己精致的手包中取出一个小巧的闪存盘,插在了李飞的电脑上。在这个容量为16GB的闪存盘中,她备份了一些常用工具,其中就有MAXDos,一款类似于DOS的微型操作系统。

她首先进入电脑的BIOS设置中,在“BIOS SETUP”选项中将USB设备启动更改为第一选择“FIRST”。重新启动后,电脑自动进入闪存盘中的MAXDos系统。在MAXDos系统欢迎画面弹出后,小蝶选择菜单中的第5个选项“启动Ghost手动操作” ,进入内置的Ghost系统备份软件中。

在进入Ghost后,小蝶的操作显然无比的熟练,她迅速点击“Local→Partion→To Image”(图1),然后选择系统分区C盘,开始进行备份。由于李飞的系统分区并不大,而她的闪存盘又有足够的容量,在Ghost提示备份文件保存路径时,小蝶将系统镜像文件保存到了自己的闪存盘中,整个过程一气呵成。

20-f14-1.jpg
图1

寻觅免杀木马

拔下闪存盘后,小蝶再一次重启电脑。进入Windows XP系统后,她要做的就是分析找出杀毒软件无法查杀的免杀木马。小蝶看到李飞的电脑中安装有《360安全卫士》,决定就用这款安全工具找出木马。

打开《360安全卫士》之后,小蝶通过“高级”选项中的“系统进程状态”开始查看是否有可疑的陌生进程。她的操作相当有技巧性,在进入“系统进程状态”选项后,小蝶通过点击程序列表中的“安全级别”栏,让所有程序按安全级别进行排序,在安全级别为“未知”的进程中翻看后,小蝶没有找到可疑的程序。

接着她又通过点击“命令行”栏,让进程按照文件路径再次排序。通常木马病毒会将自己隐藏在系统盘的操作系统路径中,因此通过路径排序可以查看哪些正在运行的进程是在系统目录下的,通过有针对性的排查,有时可以很快的锁定目标。不过系统中的进程似乎都很正常,没有可疑度很高的进程。

没有可疑的进程,又该怎么办呢?小蝶想了想,立刻查看特定敏感程序中有没有可疑的线程,将“系统进程状态”页面左下角的“隐藏加载到进程中的DLL”对钩去掉,此时系统程序进程所加载的DLL线程立刻都排列在了进程列表下方。

接着小蝶点击“系统进程状态”,再点击进程栏中的“描述”和“公司”对进程进行排序后,小蝶很快发现命令行为“svchost -k rpcss”的进程中加载了一个名为“Ybfdseve.dll”的DLL线程,而这个线程的“描述”和“公司”内容都是空白的(图2)。

20-f14-2.jpg
图2

小知识:Svchost.exe通常在Windows系统目录下的System32目录中,它是核心系统进程,负责为系统启动各种服务。例如Windows会通过Svchost调用rpcss.dll文件。它是木马最常用的伪装形式和侵入目标。

小蝶迅速调出“开始”菜单中的“运行”窗口,输入“Regedit”调出“注册表编辑器”,然后熟练的找到[HKEY_LO CAL_MACHINE\SYSTEM\CurrentControl Set\Services\RpcSs\Parameters],经过查看,她发现原本“数据数值”为[%System Root%\System32\rpcss.dll]的“ServiceDll”数值被修改为了“%System32%\Ybfdseve.d1l”——显然,它就是木马!

剿杀顽固的木马

小蝶很清楚,剿杀这种顽固的木马,想依靠简单的删除文件是无法做到的,必须将木马残留物都清除后,才能够彻底将它杀死,她决定先从注册表开始。

她按下组合键“Ctrl+F”,调出注册表编辑器的查找窗口,开始搜索“Ybfdseve”这个木马名称,搜集木马改动的痕迹(图3)。

20-f14-3.jpg
图3

搜索完成之后,小蝶发现这款木马修改了注册表中DMServer服务的数值,这项服务是用来监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息服务,木马将原来的数值“%SystemRoot%\System32\dmserver.dll”修改为了木马DLL文件的指向“%System32%\Ybfdseve.dll”,此外它还在注册表中注册添加隐藏的驱动服务,分别为:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfdseve、HKEY_ LOCAL_MACHINE\SYSTEM\ControlSet0 01\Services\Ybfdseve,数值指向的驱动文件为“Ybfdseve.sys”。

找到木马改动痕迹之后,小蝶开始逐一将这些注册表的数值恢复为原来系统默认的数值,并将木马在注册表中注册的隐藏驱动服务数值删除。然后她点击“开始”菜单中的“搜索”,寻找系统中所有文件名为“Ybfdseve”的文件,最终发现木马一共有三个文件在运行:

%System32%\Ybfdseve.d1l、%System 32%\Ybfdseve.dll、%System32%\drivers\Ybfdseve.sys。

此时,小蝶点击“开始”菜单中的“运行”,在对话框中输入regsvr32 C:\Windows\Ybfdseve.dll/u,将加载到Svchost.exe进程中的DLL文件注销,在重启系统后小蝶顺利的将文件名为“Ybfdseve”的三个木马文件全部删除了。

上午8点30分,小蝶轻松清除了李飞电脑中的木马。之后小蝶通过网络搜索引擎查询,了解到这个木马名为“PCShare”。虽然清除了木马,但是李飞并没有满意,他用非常柔和的命令语气对小蝶说:“你要帮我抓住这个幕后的黑手。”

“好,下午给你答案!”

黑客K此时并不知道,一个蜜罐陷阱已经为自己布好了……