最近有個網友通過QQ給我發了一個網頁鏈接,因為QQ給這個鏈接顯示了綠色盾牌,因此就直接點擊,可是隔天上網後發現我的游戲裝備被盜了。於是把這件事給同事說了,他感到很驚訝:“你的殺毒軟件有主動防御功能,正常情況下當木馬向系統或注冊表添加信息的時候,主動防御都會彈出相應的提示窗口,難道你的殺毒軟件沒有任何提示嗎?”
在檢查了我的電腦後,他告訴我主動防御沒有報警的記錄。此外在進程管理器中他發現svchost.Exe進程老是向外發送數據。請問醫生,這木馬是怎麼進入我電腦中的?我該怎麼清除它?
病毒自述:我的眼中沒有主動防御
我是一匹孤獨的紅狼,近期在網上獨自作案。沒錯,就是我害的你,記住我的大名——“紅狼遠控”,帥得能繞過主動防御的“狼”!
由於我本身屬於一款木馬程序,因此主要還是通過網頁木馬、文件捆綁等方式來進行傳播的。當我進入到遠程用戶的系統中後,首先自動恢復Windows系統的SSDT,這樣就可以保證殺毒軟件的主動防御立刻失效。接著我們自身會釋放一個svchost.Dll文件到系統中的System32目錄裡面。
小提示:SSDT中文名為“系統服務描述符表”,殺毒軟件的主動防御功能,就是通過它來改變程序的運行規則,從而對程序的可疑行為進行判斷和警告的。
然後svchost.Dll文件會自動插入到svchost.Exe進程中,從而利用這個進程來連接遠程的客戶端程序,此外還會在系統服務中添加一個新的服務,便於以後我隨機啟動。tW.wINgWIt.cOM當連接成功以後就可以通過客戶端程序進行文件管理、桌面查看、鍵盤記錄等操作。
我的鍵盤記錄功能可以記錄各種各樣的賬號和密碼信息,還支持離線鍵盤消息記錄,這樣當連接成功後就可以立即查看不在線時用戶的鍵盤操作。
本期醫生:殺破這只“狼”
這個木馬雖然能繞過主動防御,但並不是消滅不了它,下面我就教大家如何清除這個可惡的木馬。
第一步:首先運行安全工具WSysCheck(軟件下載地址:http://www.cpcw.com/bzsoft),點擊“進程管理”標簽,在進程列表找到一個粉紅色的svchost.Exe進程。由於木馬采用了進程保護措施,通過常見的進程結束命令行不通,因此選擇右鍵菜單中的“禁止選擇的程序運行”命令(圖1)。
第二步:這時系統可能會出現假死等不穩定的情況,不過重新啟動一下系統就可以了。接著點擊程序的“服務管理”標簽,從服務列表中找到一個名為IPRIP的服務,這就是“紅狼遠控”的啟動項。點擊右鍵菜單中的“刪除選中的服務”命令即可將它清除(圖2)。
第三步:然後點擊程序的“文件管理”標簽後,在程序模擬的資源管理器窗口中,來到Windows系統中的System32目錄。找到“紅狼遠控”的服務端文件svchost.Dll後,點擊右鍵菜單中的“直接刪除文件”命令就能將木馬徹底清除(圖3)。
最後大家還需要重新安裝一次殺毒軟件,這樣主動防御功能才會重新啟用。另外提醒大家一定要加強自己的防范意識,不要隨意地點擊其他人發來的網絡鏈接,因為這些可能就是插入了網頁木馬的鏈
From:http://tw.wingwit.com/Article/Network/201309/362.html