簡介
Evilotus木馬檔案
Evilotus木馬是由“一步江湖”推出的一款國產木馬程式。這款全新的木馬程式不但採用了反彈連線、執行緒插入、服務啟動等成熟的木馬技術,而且還有一些獨創的木馬技術。比如它具有SSDT恢復功能,通過它可以輕鬆繞過卡巴斯基的防禦功能,實現了對卡巴斯基防毒軟體的免疫。
連線連線埠無法躲避
張帆醫生明白,所有的木馬只要成功的進行連線,接收和傳送數據則必然會打開系統連線埠,就是說採用了執行緒插入技術的木馬也不例外。他準備通過系統自帶的netstat命令查看開啟的連線埠。
為了避免其他的網路程式干擾自己的工作,首先將這些程式全部關閉,然後打開命令提示符視窗。張帆醫生在命令行視窗中輸入“netstat -ano”命令,這樣很快就顯示出所有的連線和偵聽連線埠。張醫生在連線列表中發現,有一個進程正在進行對外連線,該進程的PID為1872(圖1)。
順藤摸瓜查找木馬
由於已經獲得了重要的信息內容,現在我們運行木馬輔助查找器,點擊“進程監控”標籤,通過PID值找到可疑的Svchost進程。
選中該進程,在下面的模組列表查找,很快就找到了一個既沒有“公司”說明,也沒有“描述”信息的可疑DLL檔案,因此斷定這個就是木馬服務端檔案(圖2)。看到該木馬使用了執行緒插入技術,並且插入的是系統的Svchost進程。
順利找到木馬程式的進程以後,張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具,依次點擊“啟動項目→服務→Win32 服務應用程式”按鈕。
在彈出的視窗中選擇“隱藏微軟服務”選項後,程式會自動的禁止掉發行者是Microsoft的項目,很快醫生就發現一個和木馬檔案名稱稱相同的啟動服務(圖3),因此斷定這就是木馬的啟動項。
清除木馬不過如此
在木馬輔助查找器的“進程監控”標籤中,通過PID值找到被木馬程式利用的Svchost進程,選中它,點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標籤中的“後台服務管理”選項,在服務列表中找到木馬的啟動項,選擇“刪除服務”按鈕即可。
現在打開註冊表編輯器,接著點擊“編輯”選單中的“查找”命令,在彈出的視窗中輸入剛剛查找到的木馬檔案名稱稱,當查找到和木馬檔案名稱稱相關的項目後進行修改或刪除(圖4)。最後我們進入系統的System32目錄中,將和服務端相關的檔案刪除即可完成服務端的清除工作。