今天剛剛上班不久,病毒診所的王斌醫生就接待了“病人”家屬小張。看著他滿頭大汗的樣子,聽著他急切的敘述,王斌醫生了解到小張的淘寶網的密碼被盜。與此同時,其他的一些賬戶密碼也同時被盜。一聽密碼被盜,王斌醫生的頭腦馬上浮現出“木馬”二字。那麼是什麼木馬這麼厲害呢?從小張口中得知,該木馬在進入系統不久,就會出現資源管理器進程要求連接網絡的提示。www.sq120.com推薦文章
該木馬運行後不但占用了大量系統資源,而且使系統運行十分地不穩定。木馬會將自己的進程插入到資源管理器的進程中,然後根據黑客設置的窗口標題關鍵字,去獲取指定窗口的鍵盤輸入,從而獲得相關的密碼信息。通過小張述說的木馬特征,王醫生果斷地下了結論:小張的計算機系統被人種植了“紅蜘蛛”木馬。
紅蜘蛛木馬檔案
“紅蜘蛛鍵盤記錄器”這款木馬可以獲取多種程序中的信息內容,比如即時通訊軟件、游戲、電子郵件等等。該木馬在感染系統後,會在系統的System32目錄中生成RedSpider.dll和RedSpider.exe這兩個文件。其中文件RedSpider.exe是木馬程序的主文件,通過它來調用文件RedSpider.dll來執行,最終通過文件RedSpider.dll來獲取用戶的鍵盤輸入信息。
掌握“蜘蛛”行蹤
首先打開系統的任務管理器,通過認真的檢測查看後,並沒有發現其中有什麼可疑的進程,王醫生分析該木馬可能是使用了Rootkit技術對木馬進程進行了隱藏。tW.wINgWIt.cOM於是運行IceSword這款可以檢測到隱藏進程的工具,點擊左側工具欄中的“進程”按鈕,結果和在任務管理器查看的結果一樣,也沒有發現任何隱藏的進程。
既然沒有發現隱藏的進程,那麼還有一種可能就是該木馬使用了線程插入技術。使用線程插入技術的木馬程序都有一個特點,就是喜歡將其線程插入到IE浏覽器或資源管理器的進程中,這主要是由於這兩個進程是Windows系統中最常見的進程。根據小張先前的提示,看來該木馬最有可能將線程插入到資源管理器的進程中(圖2)。
發現藏身之所
王醫生通過鼠標選擇資源管理器的進程Explorer.exe,接著在這個進程上單擊鼠標右鍵,並選擇菜單中的“模塊信息”命令。然後在彈出的“進程模塊信息”窗口認真查找,果然在其中發現了一個名為“RedSpider.dll”的可疑DLL文件。
王醫生接著使用System Repair Engineer(SREng)來檢查該木馬出現的啟動項。如果 SREng發現一個可疑的項目,那麼它會以顏色高亮顯示從而提醒用戶。點擊SREng窗口中的“啟動項目”按鈕後,在啟動列表發現了一個名為“RedSpider”的啟動項。該啟動項的名稱和可疑DLL文件一模一樣,所以它就是木馬程序的啟動項。
斷其頭斬其身
既然已經成功的發現木馬文件的啟動項,現在就可以開始清除木馬了。王醫生首先在SREng的“啟動項目”選項中找到該木馬的啟動項“RedSpider”,接著點擊操作窗口中的“刪除”按鈕將該啟動項刪除掉。
但是該木馬的進程刪除起來卻有些麻煩,因為要刪除該木馬的進程,首先要結束資源管理器的進程,而資源管理器進程又是系統必須運行的進程之一,操作起來有些棘手。
好在IceSword可以幫用戶很好的解決。首先在IceSword的進程中選擇資源管理器的進程,接著打開其“進程模塊信息”窗口,在窗口中找到“RedSpider.dll”後點擊“強制解除”按鈕即可卸載該DLL文件。最後打開系統的system32目錄,找到RedSpider.dll和RedSpider.exe這兩個文件進行刪除。
隨後重新啟動系統再對系統的進程、啟動項、系統目錄進行檢查,沒有發現可疑文件的蹤跡,確定已經將該木馬程序成功的清除了。
防范第一
“紅蜘蛛”木馬主要還是通過網頁木馬、文件捆綁等方式進行傳播。因此,我們須安裝殺毒軟件來進行木馬程序的實時防護,尤其是腳本監控功能可以及時的發現網頁中鏈接的網頁木馬。
最後,提醒大家注意,資源管理器的進程是一個本地進程,如果有一天防火牆提示你該進程需要訪問網絡,那麼這個進程一定是被惡意程序所利用了。
From:http://tw.wingwit.com/Article/Network/201309/474.html