如今,無論用於網頁木馬還是遠程溢出,黑客都會選擇一款小巧的木馬程序。隨著殺毒軟件和防火牆功能的逐步提高,木馬程序的隱蔽性也是越來越強。比如今天介紹的這款木馬程序,無論是隨機啟動還是穿越防火牆都是使用的系統程序,這樣就為我們的檢測帶來非常大的困難。那麼怎樣才能順利清除這款木馬程序呢?www.sq120.com推薦文章
今天一網友說說自己剛剛完成不久的一張設計圖被其他的設計師剽竊,問是怎麼回事?聽了講述,已經隱約懷疑是木馬程序作祟,但是哪一款木馬程序呢?在隨後的檢測中發現:這個惡意程序非常奇怪,既沒有相關的進程又沒有啟動項,就好像在系統中透明的一樣,難道這就是江湖中傳聞的“踏雪無痕”?這時,周醫生立刻明白了,這個木馬程序就是TinyRAT。
木馬的技術特點
TinyRAT是一款全新的遠程控制軟件,它最大的特點之一就是服務端程序“短小精悍”,通過FSG壓縮後只有12KB大小,所以非常適合用於網頁木馬、文件捆綁等操作。
另外,由於木馬調用SvcHost.exe服務,同時使用了一些程序替換技術,所以程序可以在卡巴斯基默認的設置下,隨機自動啟動並輕松穿透防火牆的攔截。
木馬隱藏得太深
周醫生打算從木馬的啟動項和進程開始下手,接著就可以順籐摸瓜然後將病毒一網打盡。首先運行System Repair Engineer,點擊“智能掃描”按鈕後選擇“所有的啟動項目”和“正在運行的進程”選項,接著對系統進行一個全方位的掃描。Tw.wINGwIT.Com
當程序掃描完成後,周醫生從提交的報告中並沒有看出任何的可疑之處(圖1)。周醫生心裡想:這個木馬程序果然隱藏得夠深啊!
既然通過傳統的方法不能找出木馬的相關內容,那麼這個木馬程序該如何查找分析呢?這時周醫生看到系統欄中的網絡狀態窗口,想到我們可以通過查看進程再進行數據傳輸,這樣就可以查找到木馬程序的進程。
於是關閉系統中所有運行的程序,接著運行木馬輔助查找器。再點擊“端口信息”標簽列表,果然發現有一項Svchost進程在進行數據傳輸,這裡我們記下該進程PID值(圖2)。
PID值:是進程標志符。PID列代表了各進程的ID,也就是說PID就是各進程的身份標志。打開系統的“任務管理器”並點擊“進程”標簽,接著點擊“查看”菜單中的“選擇列”命令,然後在彈出的窗口中選擇“PID”一項。這時你就能看到進程列表中的PID值了,PID值越小越好。
發現木馬真身
點擊“進程監控”標簽,從列表中選中前面那個PID值的Svchost進程後,在下面的模塊列表中果然發現了一個既沒有“公司”說明,也沒有“描述”信息的可疑DLL文件。
根據文件的路徑信息找到SysAdsnwt.dll文件,根據它的生成時間可以確認這個文件就是木馬的服務端文件(圖3)。
然後周醫生開始尋找木馬程序的啟動項。既然已經知道木馬程序利用了Svchost進程,我們還是通過它來進行查找。我們知道Svchost進程其實就是“Service Host”(服務宿主)的縮寫,它本身並不能給用戶提供任何服務,而是專門為系統啟動各種服務的。
由於系統服務在注冊表中都設置了相關參數,因此Svchost通過讀取某服務在注冊表中的信息,即可知道應該調用哪個動態鏈接庫。這樣只要查找到調用SysAdsnwt.dll文件的系統服務,就可以查找到木馬的啟動項。
清除木馬很簡單
現在看看如何對TinyRAT木馬進行卸載清除。首先運行注冊表編輯器,接著點擊“編輯”菜單中的“查找”命令,在彈出的窗口中輸入查找內容為“SysAdsnwt.dll”。
由於在注冊表中服務下邊有一個Parameters的子鍵,其中的ServiceDll表明該服務由動態鏈接庫負責,所以凡是查找到名為ServiceDll的項目的統統刪除。
接著在“木馬輔助查找器”中選擇“進程監控”標簽,選擇木馬利用的Svchost進程後點擊窗口的“終止選中進程”按鈕即可。最後進入系統的System32目錄中,將該DLL文件刪除就完成了木馬的清除工作。
From:http://tw.wingwit.com/Article/Network/201309/460.html