隨著黑客技術的日益發展,各種“裝備先進”的木馬在網上大面積傳播。如果大家遇到殺毒軟件能夠查出來,但卻無法清除的病毒,那麼多半就是現在網上非常流行的DLL動態嵌入式木馬,相對普通木馬來說,DLL木馬的查殺不易。難道我們就拿它們沒有辦法了嗎?如何清除木馬呢?下面我們就一步一步來刪掉這個如蛆附骨的DLL木馬。www.sq120.com推薦
小知識:什麼是動態嵌入式DLL木馬?
這種木馬是將DLL木馬文件嵌入到正在運行的系統進程中如“explorer.exe”、“svchost.exe”、“smss.exe”或系統常見的進程如“iexplore.exe”、“notepad.exe”,而在任務管理器裡出現的就只是DLL的載體EXE文件,由於這些進程就是系統本身的進程,因此DLL木馬具有極強的隱蔽性。
驚現病毒——殺毒軟件束手無策
近日,筆者的Norton報警發現病毒“E:\windows\sagent\mssasu.com”(注:筆者系統安裝在E盤)如圖1。從病毒名稱可以判斷是一個黑客後門程序,看來是有人在電腦上安裝了後門。
發現病毒自然是殺毒,將病毒庫升級,啟動Norton進行全面查殺,Norton又提示發現其他兩個病毒,不過Norton既無法隔離也無法將病毒刪除,如圖2所示。
尋根究底——木馬現原形
Norton無法刪除病毒,原因顯然是由於病毒進程正在運行導致的。Tw.WiNGWIt.com由於Norton總是彈出發現病毒窗口而無法查殺,筆者便將Norton的自動防護暫時關閉。打開任務管理器,奇怪的是並沒有發現有什麼陌生的進程,不過其中的“iexplore.exe”引起筆者的警覺,因為此時筆者並沒有運行IE浏覽器,進程列表裡怎麼會出現這個進程?
右擊進程選擇“打開所在目錄”,通過查看“iexplore.exe”屬性,發現這的確是系統自帶的IE浏覽器,難道是IE染毒了?然後我又發現在關閉Norton自動防護情況下,每次終止“iexplore.exe”後,不到2秒它就會立刻復活,而啟動Norton的防護後,則會發現“E:\WINDOWS\msagent\msdwix.com”病毒的提示。顯然“msdwix.com”就是“iexplore.exe”的守護進程,當它發現監視的進程被終止後會立刻使它復活。
結合Norton發現的“Dxdgns.dll”這個病毒,筆者初步判斷這應該是一個動態嵌入式DLL木馬,它把“Dxdgns.dll”木馬文件插入“iexplore.exe”進程裡了。為了便於比較,筆者又啟動一個“iexplore.exe”進程。進程調用的DLL文件,通過“Windows優化大師”組件“Windows進程管理”來查看。啟動程序後選中“iexplore.exe”,單擊“模塊信息”,通過和正常IE進程詳細對比,可以看到“e:\windows\dxdgn.dll”的確被IE調用,這就是病毒真身了,如圖3所示。
先治標——清除病毒文件
對於此類病毒,筆者使用了“系統權限法”來阻止進程運行(注意:使用該法前提是系統采用NTFS格式)。打開“我的電腦”,單擊“工具→文件夾選項→查看”,然後在“高級設置”選項下去除“簡單文件共享(推薦)”前的小鉤。
現在打開“E:\WINDOWS\msagent”,找到“msdwix.com”右擊選擇“屬性”,然後單擊“安全”標簽,接著在屬性窗口單擊“高級”,在彈出的窗口清除“從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目”復選框,在彈出窗口單擊“刪除”,去除所有繼承的權限,依次單擊“確定”後退出,這樣電腦上就沒有任何用戶可以運行“msdwix.com”了。
提示:對於采用FAT32格式的用戶,可以將電腦重啟到純DOS下,手工刪除“msdwix.com”文件。此外,對於通過系統的“rundll32.exe”命令調用DLL文件作惡的木馬,也可以利用上述方法去除DLL文件的運行和讀取權限。
現在使用任務管理器終止“iexplore.exe”,由於“msdwix.com”無法運行,自然它也不能重新加載“Dxdgns.dll”木馬了。將電腦注銷一下進入“e:\windows”,順利刪除了“Dxdgns.dll”。現在進入“E:\WINDOWS\msagent”,找到“msdwix.com”右擊選擇“屬性”,重復前面的操作,勾選“從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目”復選框。最後按照Norton查毒的提示,刪除其它病毒文件。
再治本——清除木馬啟動程序
因為每次啟動這個木馬病毒會運行,顯然它在注冊表添加了自啟動項目,查看自啟動項目軟件有很多,筆者這裡向大家推薦一款軟件Autoruns 7.01 漢化版(下載地址http://www.d66.net/soft/6942.htm),它可以詳細列出電腦上所有的自啟動項目,運行程序後單擊“查看”,依次勾選所要顯示的項目(如服務、DLL文件、浏覽器加載項、空位置),單擊“刷新”後就可以看到檢測結果了,它會列出所有啟動位置。
從Autoruns檢測可以看到,這個木馬的啟動鍵值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的COM服務,原來木馬還通過注冊為系統服務的方式啟動。右擊查找到的啟動項目選擇“跳轉到具體位置”。這樣可以直接打開注冊表並定位到相應啟動鍵值,按提示刪除COM服務鍵值即可修復注冊表。至此順利將這個難纏的DLL木馬掃地出門!
From:http://tw.wingwit.com/Article/Network/201309/989.html