前不久,和朋友谈论起目前木马的情况,朋友感慨:“现在的木马越来越牛,动不动就隐藏进程,注入系统正常进程,要不就是做成驱动级的,很难发现,多个进程互相监视,就算发现了也难清除。而且只要稍微对文件外壳处理一下,杀毒软件就不闻不问的了。实在头大”我笑着说:”让你更加头大的也有,现在理论上已经发展到替换系统正常文件,你正常访问,它就给你正常功能,如果入侵的人需要后门,它就提供后门功能。你不注意,根本就不会知道怎么回事”。这话才没说几天,马上就遇到一个类似的东西。
今天回家,顺便把家里这老爷机器的系统重新整顿,从国内某知名的,大型的软件下载网站下了一个影音传送带,安装完毕,然后打开冰刃,准备看看有没有被捆绑什么流氓软件没,这个是个骨灰级的软件,对付鸽子,3721等蛮好用的,属于骨灰级的工具。一点,系统立即重新启动,我没有在意,因为冰刃有时候就是这样,重新运行,还是重新启动。第一反应,不是和传送带冲突,就是中招了,作为国内著名的下载网站,应该不会那么黑吧,可能是冲突,于是,卸载掉传送带,一运行传送带,马上听到熟悉的“滴”的一声,电脑又重新启动了...
没辙,这年头,谁也不能相信,翻箱倒柜,找出人见人爱,花见花开的hijackthis扫描一下,没有发现什么可疑的启动项目,也没有发现什么可疑的服务,这下,我终于明白我朋友为什么头会大了...
今天回家,顺便把家里这老爷机器的系统重新整顿,从国内某知名的,大型的软件下载网站下了一个影音传送带,安装完毕,然后打开冰刃,准备看看有没有被捆绑什么流氓软件没,这个是个骨灰级的软件,对付鸽子,3721等蛮好用的,属于骨灰级的工具。一点,系统立即重新启动,我没有在意,因为冰刃有时候就是这样,重新运行,还是重新启动。第一反应,不是和传送带冲突,就是中招了,作为国内著名的下载网站,应该不会那么黑吧,可能是冲突,于是,卸载掉传送带,一运行传送带,马上听到熟悉的“滴”的一声,电脑又重新启动了...
没辙,这年头,谁也不能相信,翻箱倒柜,找出人见人爱,花见花开的hijackthis扫描一下,没有发现什么可疑的启动项目,也没有发现什么可疑的服务,这下,我终于明白我朋友为什么头会大了...
于是用端口工具查看了一下,发现系统的svchost访问了一下一个日本IP的80端口,然后就立即消失,用抓包软件分析一下,似乎是加密过的HTTP协议数据。至此,可以完全确认:恭喜,我中招了!!
仔细分析一下:hijackthis对一些隐藏服务还是很有效的,比如鸽子的后台服务,基本上一个抓一个准,难道是驱动级木马?根据经验,hijackthis对这种类型的木马是无无能为力的,以前都是用冰刃对付的,现在冰刃被病毒屏蔽了。真的是人怕出名猪怕壮,算了,反正又不是只此一家,立马挂上网,下了个knlsc, 这是个一个命令行下的工具,虽然功能没有冰刃那么牛,就是不怎么牛,所以才不怕,在命令行窗口下,终于找到狐狸的尾巴了....果然是sys木马...
仔细分析一下:hijackthis对一些隐藏服务还是很有效的,比如鸽子的后台服务,基本上一个抓一个准,难道是驱动级木马?根据经验,hijackthis对这种类型的木马是无无能为力的,以前都是用冰刃对付的,现在冰刃被病毒屏蔽了。真的是人怕出名猪怕壮,算了,反正又不是只此一家,立马挂上网,下了个knlsc, 这是个一个命令行下的工具,虽然功能没有冰刃那么牛,就是不怎么牛,所以才不怕,在命令行窗口下,终于找到狐狸的尾巴了....果然是sys木马...
于是立即到相关目录下,没有发现相关文件,看来是和鸽子一样,利用拦截API函数来实现在自身的,没有办法,只好重新启动到安全模式下 搜索一下。嘿嘿 终于发现了
接着,搜索一下注册表,这下就发现一个问题了:DMserver是微软的逻辑磁盘服务,负责逻辑磁盘管理,一般是把dll文件挂接到svchost进程实现的,怎么变成病毒文件了??尝试运行一下磁盘管理器,正常, 莫非我判断有错误?该不会病毒真的实现替换功能?上网搜索了一下,正常的文件应该是dmserver.dll文件.....
看来这个病毒,运行以后,释放出两个文件 ,sys文件注册成隐藏的后台服务,并隐藏。 d1l文件替换系统正常的dll文件。
既然知道怎么回事,那就好办多了,先停止逻辑磁盘管理服务,设置为手动的 然后删除 sys文件重新启动系统(因为d1l正在被系统使用,必须重新启动以后才能删除)
既然知道怎么回事,那就好办多了,先停止逻辑磁盘管理服务,设置为手动的 然后删除 sys文件重新启动系统(因为d1l正在被系统使用,必须重新启动以后才能删除)
重新启动好系统以后,这时候运行冰刃,嘿嘿,熟悉的界面终于出现了,看来.sys是起到屏蔽的作用了,在冰刃的文件管理器下,把剩下的病毒文件删除,然后再注册表下删除病毒注册的键值,把逻辑磁盘管理服务的键值修改成正常的路径,重新启动,搞定
总结:从文件命名的格式,和感染的方式来看,该病毒应该是著名的驱动木马pcshare的变种,现在的木马病毒不再是传统的在启动项目添加键值,或者隐藏单独进程或后台服务来实现后门功能,因为现在很多检测工具课都检查出来,该病毒暗度陈仓,通过d1l文件文件替换系统正常的dll文件,堂而皇之的在你眼皮底下运行,当你要访问正常的服务,病毒就通过调用原有的文件来实现你要的服务,而自己则在你不经意的时候实现后门功能。就算sys文件被干掉,只要这个系统服务没有被停止,后门的功能就会实现。这个方法可以逃避过一些防火墙或检测工具的检查,例如hijackthis。
如果,这个病毒,把原来的dmserver.dll 修改成其他的名字,然后把自己的名字修改该城dmserver.dll。如果他的sys文件不屏蔽冰刃,而是通过其他手段来逃避检测,我想我可能就永远都不会发现它了。
总的来说,现在的木马有点防不胜防了,我也不知道这个病毒是怎么感染到网站里面的文件,作为一个常用的软件,应该是有很多人使用,不知道会有多少人中招。
似乎没有什么一劳永逸的解决办法,因为病毒技术始终是走在防病毒技术的前面,平时的时候应该安装杀毒软件,防火墙,时常升级病毒库,虽然不能百分百的防住病毒,但是至少可以减少你中招的机率,不必要的程序,就不要让他访问网络。除非你很了解该程序是干嘛的.....
如果,这个病毒,把原来的dmserver.dll 修改成其他的名字,然后把自己的名字修改该城dmserver.dll。如果他的sys文件不屏蔽冰刃,而是通过其他手段来逃避检测,我想我可能就永远都不会发现它了。
总的来说,现在的木马有点防不胜防了,我也不知道这个病毒是怎么感染到网站里面的文件,作为一个常用的软件,应该是有很多人使用,不知道会有多少人中招。
似乎没有什么一劳永逸的解决办法,因为病毒技术始终是走在防病毒技术的前面,平时的时候应该安装杀毒软件,防火墙,时常升级病毒库,虽然不能百分百的防住病毒,但是至少可以减少你中招的机率,不必要的程序,就不要让他访问网络。除非你很了解该程序是干嘛的.....
注:以上摘自天涯网络版块“爱若流星”的大作,感谢分享!!
读后感:现在的木马可是越来越猖狂啊,说实话,俺也受过不少苦,种种经历后,俺终于悟出了:一味指望防木马软件和防毒软件那是极其愚蠢的。现在的木马形式多样,有通过病毒附的,也有通过流氓付,还有竟然通过所谓的免费绿色软件付的,当然了最常见的还是所谓的钓鱼网站了。目的无谓乎:模拟正当的网站骗取被上当用户的有用信息。如:常见的银行网站,在线交易网站,在线聊天网站,最常见的就是所谓的情色网站了。最恶劣的当然是此文作者所说的驱动级的木马了,不要说对一般用户了,就是对专业级的用户也不一定能清除掉的。因为都涉及到系统的服务了。最恐怖的莫过于伪装所谓设备的驱动程序了,让用户叫苦不迭,咬牙切齿啊。
千里之堤,防于蚁穴。俺觉得最保险的还是提高自身的防范意识,裸机上网是肯定不行的了。你像现在流行的那什么浩病毒,就是个深刻的教训啊。我们可以借助于一些防木马软件,但一定要经常更新,不常更新的防木马件形同虚设。现在的木马可是魔高一丈啊。俺这里给朋友们推荐一个很好用的,既可以防当下流行的木马,还可以防一些连普通杀毒软件都防不了的病毒。当然了你要实在怕麻烦的,干脆把系统盘做个GHOST。^_^