流萤木马是一款全新的国产反弹型木马程序,它的特点就是服务端小巧,仅有36KB的大小。它的服务端程序之所以小巧,齐全是由于它的服务端程序仅仅是一个“下载者”程序。当这个“下载者”程序装置到系统以后,才会将真正的服务端程序装置到系统之中,这也就是中招后系统产生假死的重要要素。另外该木马可以调用包含IE阅读器在内的泛滥系统进程,并且服务端程序运转十分稳固,客户端程序可以同时对几个服务端启动操作。介绍文章隐衷大白昼下当天,万大夫应酬了这样一位病人。来者自称姓马,他称早上一个好友打联络话,宣称在一个论坛发现了自己和我女好友的照片,这些照片并不是自己上行下来的。听病人讲到这里,万大夫心里对状况曾经有了大抵的了解。接着万大夫一边听着病人的形容,一边启动着详细的记载。病人通知万大夫说:元旦前一天上午有一段期间,系统如同假死一样不能操作,不过硬盘却不时在狂转,如同在下载什么物品。接着产生一个IE阅读器的衔接网络的揭示框,从新启动后不久又产生其余系统进程的衔接窗口。自己怕费事就赞同经过了,结果自己的照片就被偷了。经过病人的叙说,万大夫基本上可以必需这款木马就是如今网络中优惠意外猖狂的“流萤”木马。流萤的隐身术当万大夫确诊病情以后,就开局预备启动治疗了。首先万大夫从系统的启动项着手,预备从中找到木马程序的启动项。WWw.ItcomPuter.COm.CN万大夫首先选用检查系统启动项的佼佼者AutoRuns,点击AutoRuns的“用户”选项选用用户,接着就会在主界面中将启动项和进程所有显示进去。点击操作界面的“所有”标签,这样系统的一切启动项就了如指掌了。经过仔细审核,万大夫很快就在系统服务启动项中发现一个可疑的启动项。它之所以惹起大夫的留意,并不是它的启动称号,而是由于它在列表中的“说明”和“发行商”两项都没有任何的标注(图1),而正轨的软件程序在这两项中都会有标注。可是该文件也没有启动伪装,这不像是黑客习用的手段啊?接着万大夫再来看看系统中有没有可疑的进程,他经常使用的是Process Explorer。该软件可以让用户了解看不到的那些在后盾口头的程序进程,经过它能显示目前曾经载入的程序模块、程序所调用的 DLL进程等。Process Explorer最大的特征就是可以完结任何进程,甚至包含系统的关键进程都可以完结。首先咱们应该了解,进程分为两种。一种是系统进程,即System进程树下的一切进程;一种是个别进程,即在Explorer进程树下的一切进程。关于那些领有独立进程的木马程序,经常使用Process Explorer很容易就能发现的。经过仔细检查,在System进程树下发现了一个名为FireFly.exe的可疑进程(图2),正好这个可疑进程和那个可疑的启动项是咨询到一同的。如今大夫来启动木马程序的肃清上班。首先在Process Explorer的System进程树下,找到FireFly.exe这个可疑进程,而后点击右键菜单中的“中断进程”按钮将该进程完结。再切换到AutoRuns窗口,在系统服务中找到该木马的启动项Remote Control,雷同点击鼠标右键中的“删除”命令即可删除该启动项。由于AutoRuns的删除是间接对注册表启动操作的,没有方法智能复原,所以用户不要看到什么使人生疑的物品就删除。假设仅仅是疑心的话,用的时刻把启动项前面的钩去掉就可以了。最起初到磁盘的C:\Program Files\firefly-remote文件夹下,将整个文件夹删除即可(图3)。由于流萤是一款木马程序,所以它重要是经过网页木马、文件捆绑等重要模式启动流传的。然而人们往往疏忽这些环节而“大意失荆州”,以致于在团体消息遭到要挟时悔恨莫及。从整个木马肃清环节来看,最便捷的可疑程序检测方法就是参看这些文件的“说明”和“发行商”有没有详细的内容。假设发现某些文件没有这些内容的引见,那么首先就须要对它们启动重点审核。除此之外咱们知道,如今很多具备远程控制配置的软件,自身都带有一个“/u”的卸载参数,运转后服务端就可以齐全卸载(图4)。以后遇到可疑文件就可以用这个参数来试着卸载,流萤的服务端也可以驳回这种模式启动卸载。
© 版权声明
