五步清除頑固型內核級木馬程序Byshell

　　Byshell是一個無進程、無DLL、無啟動項的、集多種Rootkit技術特征的獨立功能遠程控制後門程序(Backdoor)。其利用線程注射DLL到系統進程，解除DLL映射並刪除自身文件和啟動項，關機時恢復。它是內核級的木馬程序，主要部分工作在Ring0，因此有很強的隱蔽性和殺傷力。

　　黑客通常用Byshell木馬程序遠程控制安裝了Windows NT/2000/XP/2003操作系統的機器。當Byshell被安裝在一台遠程計算機上後，黑客就擁有完全控制該機器的能力，並且不會被已控制機器所安裝的殺毒和防火牆等軟件及管理員手工檢測出來。

　　如何繞過主動防御

　　Byshell利用Rootkit技術，可以繞過嚴格的防火牆或者邊界路由器訪問控制，無論從內網或者外網的被控端，都可以輕松連接到外網的控制端。該技術所建立的連接也會被隱藏，被安裝該後門程序的機器都不能看到該後門使用的連接。

　　同時，它沒有自己的獨立進程，也不會在任務管理器或者絕大部分第三方進程管理工具中出現新進程。它使用一個隱藏的iexplore.exe進行對外連接，可以繞過防火牆的應用程序訪問網絡地址。在注冊表中找不到由它建立的啟動項，無任何RUN鍵值，避免了被Msconfig之類程序檢測到。

　　ByShell木馬通過對當前系統的SSDT表進行搜索，接著再搜索系統原來的使用的SSDT表，然後用以前的覆蓋現在的SSDT表。木馬程序則又可以按照正常的順序來執行，這樣就最終讓主動防御功能徹底的失效。

　　五步清除Byshell

　　1.安裝一個具備進程管理功能的安全工具軟件，查看系統進程，可以看到很多被明顯標識出的進程。這些進程都是可疑進程，很有可能有些進程已被植入木馬病毒。點擊其中的IE浏覽器進程，發現其中包括了一個可疑的木馬模塊hack.dll。

　　2.找出來該安全工具軟件中與服務管理相關的選項，同樣可以看到多個被明顯標識出的系統服務，說明這些服務都不是系統自身的服務。經過查看發現一個名為Hack的服務較為可疑，因為它的名稱和木馬模塊的名稱相同。

　　3.找出工具軟件中與文件管理相關的標簽，在模擬的資源管理器窗口中，按照可疑模塊的路徑指引，很快發現了那個可疑的木馬模塊文件hack.dll，與此同時還發現一個和模塊文件同名的可執行文件，看來這個木馬主要還是由這兩個文件組成的。

　　4.現在我們就開始進行木馬的清除工作。在進程管理選項中首先找到被明顯標識的IE浏覽器進程，選中它後通過鼠標右鍵中的“結束這個進程”命令清除它。接著點擊服務管理選項，選擇名為Hack的服務後，點擊右鍵菜單中的“刪除選中的服務”命令來刪除。

　　再選擇程序中的文件管理選項，對木馬文件進行最後的清除操作。在系統的system32目錄找到hack.dll和hack.exe文件後，點擊右鍵菜單中的“直接刪除文件”命令，完成對木馬的最後一擊。然後重新啟動系統再進行查看，確認木馬是否被清除干淨。

　　5.由於木馬程序破壞了殺毒軟件在SSDT表中的內容，因此大家最好利用軟件自帶的主動修復功能來進行修復，或者重新將殺毒軟件安裝一次即可。

　　以前木馬種植前，黑客最重要的工作就是對其進行免殺操作，這樣就可躲過殺毒軟件的特征碼檢測。現在ByShell已經有木馬可以突破主動防御，以後這類木馬也會越來越多，因此大家一定要加強自己的安全意識。