繞過主動防御 木馬病毒刺穿卡巴斯基

　　Evilotus病毒檔案

　　Evilotus木馬是由“一步江湖”推出的一款國產木馬程序。這款全新的木馬程序不但采用了反彈連接、線程插入、服務啟動等成熟的木馬技術，而且還有一些獨創的木馬技術。比如它具有SSDT恢復功能，通過它可以輕松繞過卡巴斯基的防御功能，實現了對卡巴斯基殺毒軟件的免疫。

　　連接端口無法躲避

　　張帆醫生明白，所有的木馬只要成功的進行連接，接收和發送數據則必然會打開系統端口，就是說采用了線程插入技術的木馬也不例外。他准備通過系統自帶的netstat命令查看開啟的端口。

　　為了避免其他的網絡程序干擾自己的工作，首先將這些程序全部關閉，然後打開命令提示符窗口。張帆醫生在命令行窗口中輸入“netstat -ano”命令，這樣很快就顯示出所有的連接和偵聽端口。張醫生在連接列表中發現，有一個進程正在進行對外連接，該進程的PID為1872。

　　順籐摸瓜查找木馬

　　由於已經獲得了重要的信息內容，現在我們運行木馬輔助查找器，點擊“進程監控”標簽，通過PID值找到可疑的Svchost進程。

　　選中該進程，在下面的模塊列表查找，很快就找到了一個既沒有“公司”說明，也沒有“描述”信息的可疑DLL文件，因此斷定這個就是木馬服務端文件。看到該木馬使用了線程插入技術，並且插入的是系統的Svchost進程。

　　順利找到木馬程序的進程以後，張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具，依次點擊“啟動項目→服務→Win32 服務應用程序”按鈕。

　　在彈出的窗口中選擇“隱藏微軟服務”選項後，程序會自動的屏蔽掉發行者是Microsoft的項目，很快醫生就發現一個和木馬文件名稱相同的啟動服務，因此斷定這就是木馬的啟動項。

　　清除木馬不過如此

　　在木馬輔助查找器的“進程監控”標簽中，通過PID值找到被木馬程序利用的Svchost進程，選中它，點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標簽中的“後台服務管理”選項，在服務列表中找到木馬的啟動項，選擇“刪除服務”按鈕即可。

　　現在打開注冊表編輯器，接著點擊“編輯”菜單中的“查找”命令，在彈出的窗口中輸入剛剛查找到的木馬文件名稱，當查找到和木馬文件名稱相關的項目後進行修改或刪除。最後我們進入系統的System32目錄中，將和服務端相關的文件刪除即可完成服務端的清除工作。

　　順利找到木馬程序的進程以後，張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具，依次點擊“啟動項目→服務→Win32 服務應用程序”按鈕。

　　在彈出的窗口中選擇“隱藏微軟服務”選項後，程序會自動的屏蔽掉發行者是Microsoft的項目，很快醫生就發現一個和木馬文件名稱相同的啟動服務，因此斷定這就是木馬的啟動項。

　　清除木馬不過如此

　　在木馬輔助查找器的“進程監控”標簽中，通過PID值找到被木馬程序利用的Svchost進程，選中它，點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標簽中的“後台服務管理”選項，在服務列表中找到木馬的啟動項，選擇“刪除服務”按鈕即可。

　　現在打開注冊表編輯器，接著點擊“編輯”菜單中的“查找”命令，在彈出的窗口中輸入剛剛查找到的木馬文件名稱，當查找到和木馬文件名稱相關的項目後進行修改或刪除。最後我們進入系統的System32目錄中，將和服務端相關的文件刪除即可完成服務端的清除工作。