以前黑客認為木馬下載者程序只是起到一個過渡的作用,所以並沒有對它進行很好的偽裝,但是隨著安全軟件功能的不斷提升,黑客也認識到下載者程序偽裝的重要性。最近有一款名為Amalgam Lite下載者程序,不但程序體積非常“迷你”,而且其穿越防火牆的能力也十分了得。
IE進程常被調用
五一節後,是病毒大量繁衍的時期。今天在病毒診所值班的徐陽醫生一大早就接待了一位病人,這位病人稱自己的電腦運行速度很慢,而且不時還彈出一個IE浏覽器的進程要求訪問網絡。在升級了殺毒軟件的病毒庫,對系統進行了全方位的掃描檢測後還是一無所獲。
聽了病人的敘述後,首先徐陽醫生懷疑可能是流氓軟件,但是他很快否定了自己的想法,因為很多流氓軟件在調用IE浏覽器無效後,會接著調用其他的系統進程。最後進行一系列的比對後,徐陽醫生認為患者受到最近網絡上大肆作案的木馬下載者——Amalgam Lite攻擊。
Amalgam Lite檔案
Amalgam Lite下載者程序是一款體積只有2KB大小,同時擁有反向連接穿越防火牆等功能的遠程控制程序。程序代碼采用最精簡化設置,使用CAsyncSelectEx框架,以及完全利用Windows32 SDK進行編寫。程序還可以屏蔽用戶的連接,定時檢測被控端是否非正常斷開連接。
IE進程沒被插入
徐陽醫生首先運行IceSword,點擊工具欄中的“進程”按鈕後,很快發現一個IE浏覽器進程的進程(圖1),徐陽醫生明白這個IE進程一定是被該惡意程序利用了。tW.wINgWIt.cOM
為了更好地分析是什麼惡意程序利用了IE進程,他在這個IE進程上單擊鼠標右鍵,再選擇菜單中的“模塊信息”命令。經過在彈出的“進程模塊信息”窗口認真查找,徐陽醫生並沒有發現任何惡意程序模塊信息。
看來這個惡意程序並不是利用流行的線程插入方法來進行偽裝,而是利用IE進程來啟動運行服務端程序本身,這種方法和灰鴿子木馬的啟動方法是一樣的。
木馬利用插件啟動
雖然知道了惡意程序的利用進程,但是並沒有查詢到任何該惡意程序的相關信息,於是徐陽醫生覺得還是應該通過啟動項來進行檢測。結果徐陽醫生通過對注冊表啟動項,以及系統服務等常見的啟動方式進行檢測以後,均沒有發現任何可疑的啟動項目信息。
接著他又運行AutoRuns來查看系統啟動項。點擊程序操作界面中的“全部”標簽,經過一系列認真檢查,終於發現一個可疑的啟動項。該啟動項所指向的程序路徑為Windows的系統目錄,可是它所對應的應用程序winlogo.exe卻沒有任何“說明”和“發行商”信息(圖2)。
這個應用程序的名稱和系統進程Winlogon非常相似,通過這個黑客慣用的伎倆也可以斷定這個程序就是惡意程序的主文件。
那麼這個惡意程序到底是通過什麼方式隨機啟動的呢?徐陽醫生點擊開始菜單中的“運行”命令,然後在彈出的窗口執行regedit命令打開注冊表編輯器。點擊“編輯”菜單中的“查找”命令,在彈出的窗口搜索“winlogo.exe”這個關鍵詞,果然經過搜索找到一處(圖3)。 從圖中我們可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即為該惡意程序的啟動鍵值,由此我們也知道了該惡意程序是利用ActiveX插件進行隨機啟動的,怪不得我們利用常見的方法檢測不到它的啟動項。
輕松清除木馬下載者
運行安全工具IceSword,在“進程”列表中選擇IE浏覽器的進程,點擊右鍵菜單中的“終止進程”命令。點擊IceSword工具欄中的“文件”按鈕,通過資源列表進入木馬服務端程序安裝的System32目錄,找到winlogo.exe這個主程序,通過右鍵菜單中的“刪除”命令將它刪除(圖4)。
接下來運行安全工具AutoRuns,在窗口中找到該木馬的啟動項,同樣點擊鼠標右鍵中的“刪除”命令即可刪除該啟動項。重新啟動系統後發現系統運行正常,由此可以證明木馬程序已經被徹底清除干淨。
From:http://tw.wingwit.com/Article/Network/201309/442.html