当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 绕过主动防御 木马病毒刺穿卡巴斯基

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 绕过主动防御 木马病毒刺穿卡巴斯基


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 49 ::
收藏到网摘: n/a

安全诊所的值班医生张帆,正在查询一些资料。这时推门进入一位病人。病人称他最近一段时间,很多和自己相关的网络账户都被盗了,想让医生看看是什么原因。

张帆医生询问患者有没有安装杀毒软件。患者称自己安装的杀毒软件是最新版本的卡巴斯基,不但每天准时更新病毒库,并且还打上了系统的所有补丁。

听了病人的讲述,张帆医生说:在排除系统漏洞情况下,能够绕过卡巴斯基的防御的木马就只有Evilotus。

Evilotus木马档案

Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术,而且还有一些独创的木马技术。比如它具有SSDT恢复功能,通过它可以轻松绕过卡巴斯基的防御功能,实现了对卡巴斯基杀毒软件的免疫。

连接端口无法躲避

张帆医生明白,所有的木马只要成功的进行连接,接收和发送数据则必然会打开系统端口,就是说采用了线程插入技术的木马也不例外。他准备通过系统自带的netstat命令查看开启的端口。

为了避免其他的网络程序干扰自己的工作,首先将这些程序全部关闭,然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令,这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现,有一个进程正在进行对外连接,该进程的PID为1872(图1)。

绕过主动防御 木马病毒刺穿卡巴斯基

顺藤摸瓜查找木马

由于已经获得了重要的信息内容,现在我们运行木马辅助查找器,点击“进程监控”标签,通过PID值找到可疑的Svchost进程。

选中该进程,在下面的模块列表查找,很快就找到了一个既没有“公司”说明,也没有“描述”信息的可疑DLL文件,因此断定这个就是木马服务端文件(图2)。看到该木马使用了线程插入技术,并且插入的是系统的Svchost进程。

绕过主动防御 木马病毒刺穿卡巴斯基

顺利找到木马程序的进程以后,张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具,依次点击“启动项目→服务→Win32 服务应用程序”按钮。

在弹出的窗口中选择“隐藏微软服务”选项后,程序会自动的屏蔽掉发行者是Microsoft的项目,很快医生就发现一个和木马文件名称相同的启动服务(图3),因此断定这就是木马的启动项。

绕过主动防御 木马病毒刺穿卡巴斯基

清除木马不过如此

在木马辅助查找器的“进程监控”标签中,通过PID值找到被木马程序利用的Svchost进程,选中它,点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项,在服务列表中找到木马的启动项,选择“删除服务”按钮即可。

现在打开注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入刚刚查找到的木马文件名称,当查找到和木马文件名称相关的项目后进行修改或删除(图4)。最后我们进入系统的System32目录中,将和服务端相关的文件删除即可完成服务端的清除工作。

绕过主动防御 木马病毒刺穿卡巴斯基