以前黑客以为木马下载者程序只是起到一个过渡的作用,所以并没有对它启动很好的伪装,然而随着安保软件配置的始终优化,黑客也意识到下载者程序伪装的关键性。最近有一款名为Amalgam Lite下载者程序,岂但程序体积十分“迷你”,而且其穿梭防火墙的才干也十分了得。IE进程常被调用五一节后,是病毒少量滋生的期间。当天在病毒诊所值班的徐阳医生一大早就应酬了一位病人,这位病人称自己的电脑运转速度很慢,而且不时还弹出一个IE阅读器的进程要求访问网络。在更新了杀毒软件的病毒库,对系统启动了全方位的扫描检测后还是满载而归。听了病人的叙说后,首先徐阳医生疑心或许是流氓软件,然而他很快否认了自己的想法,由于很多流氓软件在调用IE阅读器有效后,会接着调用其余的系统进程。最后启动一系列的比对后,徐阳医生以为患者遭到最近网络上大肆作案的木马下载者——Amalgam Lite攻打。Amalgam Lite档案Amalgam Lite下载者程序是一款体积只要2KB大小,同时领有反向衔接穿梭防火墙等配置的远程控制程序。程序代码驳回最精简化设置,经常使用CAsyncSelectEx框架,以及齐全应用Windows32 SDK启动编写。程序还可以屏蔽用户的衔接,定时检测被控端能否非反常断开衔接。IE进程没被拔出徐阳医生首先运转IceSword,点击工具栏中的“进程”按钮后,很快发现一个IE阅读器进程的进程(图1),徐阳医生明确这个IE进程必定是被该恶意程序应用了。Www.itcOmPUteR.cOM.Cn为了更好地剖析是什么恶意程序应用了IE进程,他在这个IE进程上单击鼠标右键,再选用菜单中的“模块信息”命令。经过在弹出的“进程模块信息”窗口仔细查找,徐阳医生并没有发现任何恶意程序模块信息。看来这个恶意程序并不是应用盛行的线程拔出方法来启动伪装,而是应用IE进程来启动运转服务端程序自身,这种方法和灰鸽子木马的启动方法是一样的。木马应用插件启动虽然知道了恶意程序的应用进程,然而并没有查问就任何该恶意程序的关系信息,于是徐阳医生感觉还是应该经过启动项来启动检测。结果徐阳医生经过对注册表启动项,以及系统服务等经常出现的启动形式启动检测以后,均没有发现任何可疑的启动名目信息。接着他又运转AutoRuns来检查系统启动项。点击程序操作界面中的“所有”标签,经过一系列仔细审核,终于发现一个可疑的启动项。该启动项所指向的程序门路为Windows的系统目录,可是它所对应的运行程序winlogo.exe却没有任何“说明”和“发行商”信息(图2)。
这个运行程序的称号和系统进程Winlogon十分相似,经过这个黑客习用的手腕也可以判定这个程序就是恶意程序的主文件。那么这个恶意程序究竟是经过什么形式随机启动的呢?徐阳医生点击开局菜单中的“运转”命令,而后在弹出的窗口口头regedit命令关上注册表编辑器。点击“编辑”菜单中的“查找”命令,在弹出的窗口搜查“winlogo.exe”这个关键词,果真经过搜查觅到一处(图3)。从图中咱们可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即为该恶意程序的启动键值,由此咱们也知道了该恶意程序是应用ActiveX插件启动随机启动的,怪不得咱们应用经常出现的方法检测不到它的启动项。轻松肃清木马下载者运转安保工具IceSword,在“进程”列表当选用IE阅读器的进程,点击右键菜单中的“中断进程”命令。点击IceSword工具栏中的“文件”按钮,经过资源列表进入木马服务端程序装置的System32目录,找到winlogo.exe这个主程序,经过右键菜单中的“删除”命令将它删除(图4)。接上去运转安保工具AutoRuns,在窗口中找到该木马的启动项,雷同点击鼠标右键中的“删除”命令即可删除该启动项。从新启动系统后发现系统运转反常,由此可以证实木马程序曾经被彻底肃清洁净。
如何防止网站被入侵 如何删除电脑中暗藏的木马
