当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 绕过主动防御 木马病毒刺穿卡巴斯基

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 绕过主动防御 木马病毒刺穿卡巴斯基


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 204 ::
收藏到网摘: n/a

  Evilotus病毒档案

  Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术,而且还有一些独创的木马技术。比如它具有SSDT恢复功能,通过它可以轻松绕过卡巴斯基的防御功能,实现了对卡巴斯基杀毒软件的免疫。

  连接端口无法躲避

  张帆医生明白,所有的木马只要成功的进行连接,接收和发送数据则必然会打开系统端口,就是说采用了线程插入技术的木马也不例外。他准备通过系统自带的netstat命令查看开启的端口。

  为了避免其他的网络程序干扰自己的工作,首先将这些程序全部关闭,然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令,这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现,有一个进程正在进行对外连接,该进程的PID为1872。


绕过主动防御 木马病毒刺穿卡巴斯基

  顺藤摸瓜查找木马

  由于已经获得了重要的信息内容,现在我们运行木马辅助查找器,点击“进程监控”标签,通过PID值找到可疑的Svchost进程。

  选中该进程,在下面的模块列表查找,很快就找到了一个既没有“公司”说明,也没有“描述”信息的可疑DLL文件,因此断定这个就是木马服务端文件。看到该木马使用了线程插入技术,并且插入的是系统的Svchost进程。

绕过主动防御 木马病毒刺穿卡巴斯基

  顺利找到木马程序的进程以后,张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具,依次点击“启动项目→服务→Win32 服务应用程序”按钮。

  在弹出的窗口中选择“隐藏微软服务”选项后,程序会自动的屏蔽掉发行者是Microsoft的项目,很快医生就发现一个和木马文件名称相同的启动服务,因此断定这就是木马的启动项。

绕过主动防御 木马病毒刺穿卡巴斯基

  清除木马不过如此

 

  在木马辅助查找器的“进程监控”标签中,通过PID值找到被木马程序利用的Svchost进程,选中它,点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项,在服务列表中找到木马的启动项,选择“删除服务”按钮即可。

  现在打开注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入刚刚查找到的木马文件名称,当查找到和木马文件名称相关的项目后进行修改或删除。最后我们进入系统的System32目录中,将和服务端相关的文件删除即可完成服务端的清除工作。

绕过主动防御 木马病毒刺穿卡巴斯基

  顺利找到木马程序的进程以后,张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具,依次点击“启动项目→服务→Win32 服务应用程序”按钮。

  在弹出的窗口中选择“隐藏微软服务”选项后,程序会自动的屏蔽掉发行者是Microsoft的项目,很快医生就发现一个和木马文件名称相同的启动服务(图3),因此断定这就是木马的启动项。

  清除木马不过如此

  在木马辅助查找器的“进程监控”标签中,通过PID值找到被木马程序利用的Svchost进程,选中它,点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项,在服务列表中找到木马的启动项,选择“删除服务”按钮即可。

  现在打开注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入刚刚查找到的木马文件名称,当查找到和木马文件名称相关的项目后进行修改或删除。最后我们进入系统的System32目录中,将和服务端相关的文件删除即可完成服务端的清除工作。

绕过主动防御 木马病毒刺穿卡巴斯基