熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

如何清除Evilotus木馬

2013-09-12 15:54:00  來源: 網絡技術 

   木馬層出不窮,可是它們推出後很快就會被殺毒軟件查殺。於是,黑客通過各種免殺方法讓木馬躲過殺毒軟件的查殺。可惜好景不長,現在許多殺毒軟件都搭配了監控功能,所以木馬的種植就越來越困難。但是正所謂“道高一尺,魔高一丈”,現在已經有木馬程序可以躲過某些殺毒軟件的主動防御功能。www.sq120.com推薦文章
木馬繞過主動防御
  安全診所的值班醫生張帆,正在查詢一些資料。這時推門進入一位病人。病人稱最近一段時間,很多和自己相關的網絡賬戶都被盜了,想讓醫生看看是什麼原因。
  張帆醫生詢問患者有沒有安裝殺毒軟件。患者稱自己安裝的殺毒軟件是最新版本的卡巴斯基,不但每天准時更新病毒庫,並且還打上了系統的所有補丁。
  聽了病人的講述,張帆醫生說:在排除系統漏洞情況下,能夠繞過卡巴斯基的防御的木馬就只有Evilotus。
Evilotus木馬檔案
  Evilotus木馬是由“一步江湖”推出的一款國產木馬程序。這款全新的木馬程序不但采用了反彈連接、線程插入、服務啟動等成熟的木馬技術,而且還有一些獨創的木馬技術。比如它具有SSDT恢復功能,通過它可以輕松繞過卡巴斯基的防御功能,實現對卡巴斯基殺毒軟件的免疫。
連接端口無法躲避
  張帆醫生明白,所有的木馬只要成功進行連接,接收和發送數據時必然會打開系統端口,就是說采用了線程插入技術的木馬也不例外。tw.wINgwiT.CoM他准備通過系統自帶的netstat命令查看開啟的端口。
  為了避免其他的網絡程序干擾自己的工作,首先將這些程序全部關閉,然後打開命令提示符窗口。張帆醫生在命令行窗口中輸入“netstat -ano”命令,這樣很快就顯示出所有的連接和偵聽端口。張醫生在連接列表中發現,有一個進程正在進行對外連接,該進程的PID為1872(圖1)。

  由於已經獲得了重要的信息內容,現在我們運行木馬輔助查找器,點擊“進程監控”標簽,通過PID值找到可疑的Svchost進程。
  選中該進程,在下方的模塊列表查找,很快就找到了一個既沒有“公司”說明,也沒有“描述”信息的可疑DLL文件,因此斷定它就是木馬服務端文件(圖2)。看到該木馬使用了線程插入技術,並且插入的是系統的Svchost進程。

  順利找到木馬程序的進程以後,張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具,依次點擊“啟動項目→服務→Win32 服務應用程序”按鈕。
  在彈出的窗口中選擇“隱藏微軟服務”選項後,程序會自動屏蔽掉發行者為Microsoft的項目,很快醫生就發現一個和木馬文件名稱相同的啟動服務(圖3),因此斷定這就是木馬的啟動項。

清除木馬不過如此
  在木馬輔助查找器的“進程監控”標簽中,通過PID值找到被木馬程序利用的Svchost進程,選中它,點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標簽中的“後台服務管理”選項,在服務列表中找到木馬的啟動項,選擇“刪除服務”按鈕即可。
  現在打開注冊表編輯器,接著點擊“編輯”菜單中的“查找”命令,在彈出的窗口中輸入剛剛查找到的木馬文件名稱,當查找到和木馬文件名稱相關的項目後進行修改或刪除(圖4)。最後我們進入系統的System32目錄中,將和服務端相關的文件刪除即可完成服務端的清除工作。

 
From:http://tw.wingwit.com/Article/Network/201309/452.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.