最近有个网友通过QQ给我发了一个网页链接,因为QQ给这个链接显示了绿色盾牌,因此就直接点击,可是隔天上网后发现我的游戏装备被盗了。于是把这件事给同事说了,他感到很惊讶:“你的杀毒软件有主动防御功能,正常情况下当木马向系统或注册表添加信息的时候,主动防御都会弹出相应的提示窗口,难道你的杀毒软件没有任何提示吗?”
在检查了我的电脑后,他告诉我主动防御没有报警的记录。此外在进程管理器中他发现svchost.Exe进程老是向外发送数据。请问医生,这木马是怎么进入我电脑中的?我该怎么清除它?
病毒自述:我的眼中没有主动防御
我是一匹孤独的红狼,近期在网上独自作案。没错,就是我害的你,记住我的大名——“红狼远控”,帅得能绕过主动防御的“狼”!
由于我本身属于一款木马程序,因此主要还是通过网页木马、文件捆绑等方式来进行传播的。当我进入到远程用户的系统中后,首先自动恢复Windows系统的SSDT,这样就可以保证杀毒软件的主动防御立刻失效。接着我们自身会释放一个svchost.Dll文件到系统中的System32目录里面。
小提示:SSDT中文名为“系统服务描述符表”,杀毒软件的主动防御功能,就是通过它来改变程序的运行规则,从而对程序的可疑行为进行判断和警告的。
然后svchost.Dll文件会自动插入到svchost.Exe进程中,从而利用这个进程来连接远程的客户端程序,此外还会在系统服务中添加一个新的服务,便于以后我随机启动。TW.wiNgWIt.com当连接成功以后就可以通过客户端程序进行文件管理、桌面查看、键盘记录等操作。
我的键盘记录功能可以记录各种各样的账号和密码信息,还支持离线键盘消息记录,这样当连接成功后就可以立即查看不在线时用户的键盘操作。
本期医生:杀破这只“狼”
这个木马虽然能绕过主动防御,但并不是消灭不了它,下面我就教大家如何清除这个可恶的木马。
第一步:首先运行安全工具WSysCheck(软件下载地址:http://www.cpcw.com/bzsoft),点击“进程管理”标签,在进程列表找到一个粉红色的svchost.Exe进程。由于木马采用了进程保护措施,通过常见的进程结束命令行不通,因此选择右键菜单中的“禁止选择的程序运行”命令(图1)。
第二步:这时系统可能会出现假死等不稳定的情况,不过重新启动一下系统就可以了。接着点击程序的“服务管理”标签,从服务列表中找到一个名为IPRIP的服务,这就是“红狼远控”的启动项。点击右键菜单中的“删除选中的服务”命令即可将它清除(图2)。
第三步:然后点击程序的“文件管理”标签后,在程序模拟的资源管理器窗口中,来到Windows系统中的System32目录。找到“红狼远控”的服务端文件svchost.Dll后,点击右键菜单中的“直接删除文件”命令就能将木马彻底清除(图3)。
最后大家还需要重新安装一次杀毒软件,这样主动防御功能才会重新启用。另外提醒大家一定要加强自己的防范意识,不要随意地点击其他人发来的网络链接,因为这些可能就是插入了网页木马的链
From:http://tw.wingwit.com/Article/Network/201311/24468.html