Evilotus病毒檔案
Evilotus木馬是由“一步江湖”推出的一款國產木馬程序。這款全新的木馬程序不但采用了反彈連接、線程插入、服務啟動等成熟的木馬技術,而且還有一些獨創的木馬技術。比如它具有SSDT恢復功能,通過它可以輕松繞過卡巴斯基的防御功能,實現了對卡巴斯基殺毒軟件的免疫。
連接端口無法躲避
張帆醫生明白,所有的木馬只要成功的進行連接,接收和發送數據則必然會打開系統端口,就是說采用了線程插入技術的木馬也不例外。他准備通過系統自帶的netstat命令查看開啟的端口。
為了避免其他的網絡程序干擾自己的工作,首先將這些程序全部關閉,然後打開命令提示符窗口。張帆醫生在命令行窗口中輸入“netstat -ano”命令,這樣很快就顯示出所有的連接和偵聽端口。張醫生在連接列表中發現,有一個進程正在進行對外連接,該進程的PID為1872。
順籐摸瓜查找木馬
由於已經獲得了重要的信息內容,現在我們運行木馬輔助查找器,點擊“進程監控”標簽,通過PID值找到可疑的Svchost進程。
選中該進程,在下面的模塊列表查找,很快就找到了一個既沒有“公司”說明,也沒有“描述”信息的可疑DLL文件,因此斷定這個就是木馬服務端文件。看到該木馬使用了線程插入技術,並且插入的是系統的Svchost進程。
順利找到木馬程序的進程以後,張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具,依次點擊“啟動項目→服務→Win32 服務應用程序”按鈕。
在彈出的窗口中選擇“隱藏微軟服務”選項後,程序會自動的屏蔽掉發行者是Microsoft的項目,很快醫生就發現一個和木馬文件名稱相同的啟動服務,因此斷定這就是木馬的啟動項。
清除木馬不過如此
在木馬輔助查找器的“進程監控”標簽中,通過PID值找到被木馬程序利用的Svchost進程,選中它,點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標簽中的“後台服務管理”選項,在服務列表中找到木馬的啟動項,選擇“刪除服務”按鈕即可。
現在打開注冊表編輯器,接著點擊“編輯”菜單中的“查找”命令,在彈出的窗口中輸入剛剛查找到的木馬文件名稱,當查找到和木馬文件名稱相關的項目後進行修改或刪除。最後我們進入系統的System32目錄中,將和服務端相關的文件刪除即可完成服務端的清除工作。
順利找到木馬程序的進程以後,張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具,依次點擊“啟動項目→服務→Win32 服務應用程序”按鈕。
在彈出的窗口中選擇“隱藏微軟服務”選項後,程序會自動的屏蔽掉發行者是Microsoft的項目,很快醫生就發現一個和木馬文件名稱相同的啟動服務,因此斷定這就是木馬的啟動項。
清除木馬不過如此
在木馬輔助查找器的“進程監控”標簽中,通過PID值找到被木馬程序利用的Svchost進程,選中它,點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標簽中的“後台服務管理”選項,在服務列表中找到木馬的啟動項,選擇“刪除服務”按鈕即可。
現在打開注冊表編輯器,接著點擊“編輯”菜單中的“查找”命令,在彈出的窗口中輸入剛剛查找到的木馬文件名稱,當查找到和木馬文件名稱相關的項目後進行修改或刪除。最後我們進入系統的System32目錄中,將和服務端相關的文件刪除即可完成服務端的清除工作。