情況描述
開機後,只要我撥號上網,網絡防火牆就彈出一個提示窗口,詢問是否允許“Internet Explorer”連接網絡。我從提示框的“地址”一欄也證實了確實是IE浏覽器的進程要求訪問互聯網,可我上網從來都只用Maxthon。原以為是系統本身的問題,便重新啟動系統,可是當我撥號上網後不久,IE浏覽器便要求訪問互聯網。對系統進行一次徹底地病毒掃描,結果一無所獲。
根據端口查找線索
雖然殺毒軟件沒有掃描出結果,但我隱隱約約感覺到這個幕後黑手可能是一個木馬程序,因為流氓軟件不會對系統是否聯網進行判斷,而很多木馬才會有這個功能,之所以不被查殺可能因為它是一個全新的木馬程序,也可能被入侵者進行了特征碼修改的免殺操作。
再次撥號上網,防火牆又出現了IE浏覽器連接互聯網的請求。運行木馬輔助查找器(下載地址http://www.ysye.com/soft/446.html),這是一款可以輔助用戶進行惡意程序檢查的工具。Tw.wInGwIT.Com點擊“端口信息”選項,這裡用戶不但可以查看到哪些端口被打開使用,還可以看到是哪些進程打開的這些端口,從而方便用戶根據實際的情況決定是否終止進程來關閉某些端口。點擊“刷新”按鈕可以及時更新當前的端口情況。
從查找到的信息中我發現一個特別的地方,就是IE浏覽器的進程居然用的是UDP協議,也就是說這個木馬程序也用的是UDP協議。而正常情況下,不管是IE浏覽器的網絡訪問,還是我們常見的木馬程序在進行數據傳輸的時候,都是采用TCP協議。
現在我只要查找到哪些木馬程序是采用UDP協議進行數據傳輸的,就可以判斷出是什麼木馬程序在作祟。通過上網搜索,發現只有一種名為神氣兒的國產木馬是采用UDP協議進行數據傳輸的。
小知識
神氣兒是國內第一款UDP木馬,此木馬號稱 “無進程、無服務、無DLL”。該木馬是以系統服務為啟動方式,使用者可以自定義木馬啟動服務的名稱、服務端程序的名稱、安裝目錄以及上線的端口等,增加了發現此木馬的難度。
根據特性 清除木馬
由於神氣兒的服務端程序是通過系統服務進行啟動的,所以要通過服務管理器來查看系統中可疑的服務。
在“我的電腦”圖標上點擊鼠標右鍵選擇“管理”命令,接著在彈出的“計算機管理”窗口中選擇“服務”選項,然後在這些系統的服務中查找可疑的服務。果然從中查到一個名為SQE的可疑服務,接著記錄下這個啟動服務的名稱,以及所指的程序路徑:\Windows\system32\spoolsv.exe。在“開始→運行”輸入CMD,進入命令提示符窗口,然後輸入“sc delete sqe”,將該服務刪除。
點擊木馬輔助查找器中的“進程監控”選項,點擊“自動掃描可疑程序”按鈕,程序會自動對當前的進程進行查看,判斷是否包含可疑進程,結果還是沒有查出可疑的線程。
我只好選擇IE浏覽器的進程,接著就可以在“DLL名稱”窗口中查看該進程下所有的線程。我意外地從中找到一個可疑的線程soul.dll。終止這個假IE浏覽器的進程,再將C:\Windows\system32目錄中spoolsv.exe和soul.dll文件刪除。然後重新啟動電腦,再次撥號上網,防火牆沒有彈出連接請求,木馬清除成功。
首先我要表揚海洋同學的警惕性高,在木馬運行的第一時間“逮住”了它(雖然有一定的運氣成分)。並且根據細致入微的觀察,找到了木馬程序的“破綻”——UDP協議。
雖然海洋同學清除木馬時,靈活使用各種安全輔助工具很值得我們學習。但是阿良認為,海洋同學為我們帶來一個很重要的啟發,那就是合理使用網絡防火牆以及使用非IE的浏覽器。使用網絡防火牆能夠在一定程度防范來自網絡上的攻擊和反彈木馬連接客戶端。同時,因為目前很多木馬喜歡模仿IE連接網絡,所以使用一款非IE的浏覽器,可以讓大家在中了此類木馬後,增加發現木馬的概率。
From:http://tw.wingwit.com/Article/Network/201309/953.html