当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 绕过主动防御 木马病毒刺穿卡巴斯基

杀毒防毒
再次认识灰鸽子不可不知的病毒解决方案
“灰鸽子”病毒引争议 呼唤立法
剿灭手机病毒:熊猫烧香手机病毒现身
木马安全防护,你应该知道的基础知识
关于木马病毒的六种启动方式
四种检测硬盘及内存病毒的绝招
ANI艾妮病毒完整解决方案全解析
巧妙从进程中判断出病毒和木马
深入剖析 MY123流氓软件四种清除方法
Microsoft® Windows® 恶意软件删除工具
【反毒技术】查杀灰鸽子病毒--手工、新版、挡住、处理
关于查杀“灰鸽子2005”的一点建议
怎样挡住灰鸽子(Backdoor.Gpigeon)
关于HijackThis日志发现灰鸽子的处理方法
杀毒软件自我保护机制与木马对策
卡巴斯基几种比较实用的使用方法
主流计算机病毒对系统的破坏方式
如何应对杀除病毒时提示清除失败
用木马间谍杀手保护你的电脑
实际案例 隐藏的病毒文件清除全过程

杀毒防毒 中的 绕过主动防御 木马病毒刺穿卡巴斯基


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 186 ::
收藏到网摘: n/a

  Evilotus病毒档案

  Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术,而且还有一些独创的木马技术。比如它具有SSDT恢复功能,通过它可以轻松绕过卡巴斯基的防御功能,实现了对卡巴斯基杀毒软件的免疫。

  连接端口无法躲避

  张帆医生明白,所有的木马只要成功的进行连接,接收和发送数据则必然会打开系统端口,就是说采用了线程插入技术的木马也不例外。他准备通过系统自带的netstat命令查看开启的端口。

  为了避免其他的网络程序干扰自己的工作,首先将这些程序全部关闭,然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令,这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现,有一个进程正在进行对外连接,该进程的PID为1872。


绕过主动防御 木马病毒刺穿卡巴斯基

  顺藤摸瓜查找木马

  由于已经获得了重要的信息内容,现在我们运行木马辅助查找器,点击“进程监控”标签,通过PID值找到可疑的Svchost进程。

  选中该进程,在下面的模块列表查找,很快就找到了一个既没有“公司”说明,也没有“描述”信息的可疑DLL文件,因此断定这个就是木马服务端文件。看到该木马使用了线程插入技术,并且插入的是系统的Svchost进程。

绕过主动防御 木马病毒刺穿卡巴斯基

  顺利找到木马程序的进程以后,张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具,依次点击“启动项目→服务→Win32 服务应用程序”按钮。

  在弹出的窗口中选择“隐藏微软服务”选项后,程序会自动的屏蔽掉发行者是Microsoft的项目,很快医生就发现一个和木马文件名称相同的启动服务,因此断定这就是木马的启动项。

绕过主动防御 木马病毒刺穿卡巴斯基

  清除木马不过如此

 

  在木马辅助查找器的“进程监控”标签中,通过PID值找到被木马程序利用的Svchost进程,选中它,点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项,在服务列表中找到木马的启动项,选择“删除服务”按钮即可。

  现在打开注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入刚刚查找到的木马文件名称,当查找到和木马文件名称相关的项目后进行修改或删除。最后我们进入系统的System32目录中,将和服务端相关的文件删除即可完成服务端的清除工作。

绕过主动防御 木马病毒刺穿卡巴斯基

  顺利找到木马程序的进程以后,张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具,依次点击“启动项目→服务→Win32 服务应用程序”按钮。

  在弹出的窗口中选择“隐藏微软服务”选项后,程序会自动的屏蔽掉发行者是Microsoft的项目,很快医生就发现一个和木马文件名称相同的启动服务(图3),因此断定这就是木马的启动项。

  清除木马不过如此

  在木马辅助查找器的“进程监控”标签中,通过PID值找到被木马程序利用的Svchost进程,选中它,点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项,在服务列表中找到木马的启动项,选择“删除服务”按钮即可。

  现在打开注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入刚刚查找到的木马文件名称,当查找到和木马文件名称相关的项目后进行修改或删除。最后我们进入系统的System32目录中,将和服务端相关的文件删除即可完成服务端的清除工作。

绕过主动防御 木马病毒刺穿卡巴斯基