首页 > 单独文章 > 正文

剿杀阴影中的木偶木马

时间:2008-03-30 09:23:22 作者:officeba 【认证】
病人:我的计算机系统在最近一段时间里,系统硬盘老是不定时狂转。通过端口检测竟然发现有一个Svchost 进程,在使用60000 端口进行数据的传播。医生,这是由于什么问题造成的呢?
医生:通过你的简单介绍,我认为可能是系统中存在某种木马程序。通过端口我们就可以更快地分析是那种木马程序,因为每种木马程序默认使用的端口都不同。比如灰鸽子木马使用的是8000 端口,而新版的PcShare 木马现在使用的端口是3030 。而使用60000 端口的木马只有一个,那就是最新版本的木偶木马。
木偶木马清除方案
第一步:首先运行安全工具IceSword ,点击左侧工具栏中的“ 进程” 按钮,从中并没有发现被标明为红色的进程,说明该木马并没有使用线程插入技术。看来只有从端口着手开始查找,点击左侧工具栏中的“ 端口” 按钮,果然发现一个Svchost 进程在传输数据(如图)。于是记录下该Svchost 进程的PID 值。
PID 值是进程标志符。PID 列代表了各进程的进程ID ,也就是说PID 就是各进程的身份标志。打开系统的“ 任务管理器” 并点击“ 进程” 标签,接着点击“ 查看” 菜单中的“ 选择列” 命令,然后在弹出的窗口中选择“ PID ” 一项。这时你就能看到进程列表中的PID 值了,PID 值越小越好。第二步:现在再运行System Repair Engineer ,点击工具栏中的“ 启动项目” 按钮,很快发现一个没有名称的启动项,该启动项指向的文件名称为host32.Com 。通过对启动项的查看发现,它就是利用ActiveX 启动的,正好符合木偶木马的启动方式。
第三步:点击IceSword 工具栏中的“ 文件” 按钮,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件host32.Com 。经过检测发现该文件不但进行了时间的伪装,而且还进行了隐藏等一系列操作。
第四步:现在我们就开始进行木偶木马的清除操作。首先通过IceSword 的进程管理功能,接着在“ 进程管理” 窗口里找到相同PID 值的Svchost 进程,选中它后通过鼠标右键中的“ 结束进程” 命令结束它。再选择程序中的“ 文件” 按钮,对木马文件进行最后的清除操作。在系统的Web 目录找到host32.Com 文件后,点击右键菜单中的“ 强制删除” 命令。最后再利用System Repair Engineer ,在启动列表窗口中选择木马的启动项后,点击“ 删除” 按钮就可以完成了木马服务端的清除操作。要想成功防止被木偶木马控制,需要分两个主要的步骤来进行操作。首先修复系统中已经存在的安全漏洞,以及更新应用软件到最新的版本。其次就是使用《 IE 卫士》 等安全工具,来对各种各样的网页木马进行有效的拦截操作。
总结
以前木马程序为了进行更好的隐藏,常常使用线程插入技术来操作,但是这种方法现在很容易被安全程序查到。现在的木马程序又换了一种隐藏方法,不将服务端程序的线程进行插入,而是直接利用指定的进程来启动服务端,这样伪装的时候也将更加隐蔽。不过即使是这样,用户只要找到好的切入点,一样可以成功清除系统中的木马程序。

相关文章

同类最新