流螢木馬是一款全新的國產反彈型木馬程序,它的特點就是服務端小巧,僅有36KB的大小。它的服務端程序之所以小巧,完全是因為它的服務端程序僅僅是一個“下載者”程序。當這個“下載者”程序安裝到系統以後,才會將真正的服務端程序安裝到系統之中,這也就是中招後系統出現假死的主要原因。另外該木馬可以調用包括IE浏覽器在內的眾多系統進程,並且服務端程序運行十分穩定,客戶端程序可以同時對幾個服務端進行操作。www.sq120.com推薦文章
隱私大白天下
今天,萬大夫接待了這樣一位病人。來者自稱姓馬,他稱早上一個好友打來電話,聲稱在一個論壇發現了自己和我女朋友的照片,這些照片並不是自己上傳上去的。聽病人講到這裡,萬大夫心裡對情況已經有了大致的了解。
接著萬大夫一邊聽著病人的描述,一邊進行著詳細的記錄。病人告訴萬大夫說:元旦前一天上午有一段時間,系統好像假死一樣不能操作,不過硬盤卻一直在狂轉,好像在下載什麼東西。
接著出現一個IE浏覽器的連接網絡的提示框,重新啟動後不久又出現其他系統進程的連接窗口。自己怕麻煩就同意通過了,結果自己的照片就被偷了。通過病人的敘述,萬大夫基本上可以肯定這款木馬就是現在網絡中活動異常猖獗的“流螢”木馬。
流螢的隱身術
當萬大夫確診病情以後,就開始准備進行治療了。首先萬大夫從系統的啟動項著手,准備從中找到木馬程序的啟動項。TW.winGWit.Com萬大夫首先選擇查看系統啟動項的佼佼者AutoRuns,點擊AutoRuns的“用戶”選項選擇用戶,接著就會在主界面中將啟動項和進程全部顯示出來。點擊操作界面的“全部”標簽,這樣系統的所有啟動項就一目了然了。
經過認真檢查,萬大夫很快就在系統服務啟動項中發現一個可疑的啟動項。它之所以引起大夫的注意,並不是它的啟動名稱,而是因為它在列表中的“說明”和“發行商”兩項都沒有任何的標注(圖1),而正規的軟件程序在這兩項中都會有標注。可是該文件也沒有進行偽裝,這不像是黑客慣用的伎倆啊?
接著萬大夫再來看看系統中有沒有可疑的進程,他使用的是Process Explorer。該軟件可以讓用戶了解看不到的那些在後台執行的程序進程,通過它能顯示目前已經載入的程序模塊、程序所調用的 DLL進程等。Process Explorer最大的特色就是可以結束任何進程,甚至包括系統的關鍵進程都可以結束。
首先我們應該了解,進程分為兩種。一種是系統進程,即System進程樹下的所有進程;一種是普通進程,即在Explorer進程樹下的所有進程。對於那些擁有獨立進程的木馬程序,使用Process Explorer很容易就能發現的。經過認真查看,在System進程樹下發現了一個名為FireFly.exe的可疑進程(圖2),正好這個可疑進程和那個可疑的啟動項是聯系到一起的。 現在大夫來進行木馬程序的清除工作。首先在Process Explorer的System進程樹下,找到FireFly.exe這個可疑進程,然後點擊右鍵菜單中的“終止進程”按鈕將該進程結束。再切換到AutoRuns窗口,在系統服務中找到該木馬的啟動項Remote Control,同樣點擊鼠標右鍵中的“刪除”命令即可刪除該啟動項。
由於AutoRuns的刪除是直接對注冊表進行操作的,沒有辦法自動恢復,所以用戶不要看到什麼使人生疑的東西就刪除。如果僅僅是懷疑的話,用的時候把啟動項前面的鉤去掉就可以了。最後來到磁盤的C:\Program Files\firefly-remote文件夾下,將整個文件夾刪除即可(圖3)。
由於流螢是一款木馬程序,所以它主要是通過網頁木馬、文件捆綁等主要方式進行傳播的。但是人們往往忽略這些環節而“大意失荊州”,以至於在個人信息受到威脅時後悔莫及。從整個木馬清除過程來看,最簡單的可疑程序檢測方法就是參看這些文件的“說明”和“發行商”有沒有具體的內容。如果發現某些文件沒有這些內容的介紹,那麼首先就需要對它們進行重點檢查。
除此之外我們知道,現在很多具有遠程控制功能的軟件,自身都帶有一個“/u”的卸載參數,運行後服務端就可以完全卸載(圖4)。以後遇到可疑文件就可以用這個參數來試著卸載,流螢的服務端也可以采用這種方式進行卸載。
From:http://tw.wingwit.com/Article/Network/201309/479.html