当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 如何清除能突破主动防御的新型木马

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 如何清除能突破主动防御的新型木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 66 ::
收藏到网摘: n/a

  病人:我使用的杀毒软件有主动防御功能,能拦截木马,可最近我的邮箱账号还是被盗了,为什么会这样?

  医生:这个其实也是很正常的,毕竟没有一款杀毒软件是万能的,能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马,例如最新的ByShell木马。这是一类新型木马,其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。

  利用SSDT绕过主动防御

  病人:像ByShell这样的木马,它们是如何突破主动防御的呢?

  医生:最早黑客通过将系统日期更改到较早前的日期,这样杀毒软件就会自动关闭所有监控功能,当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。

  Windows系统中有一个SSDT表,SSDT的全称是System Services Descriptor Table,中文名称为“系统服务描述符表”。这个表就是把应用层指令传输给系统内核的一个通道。

  而所有杀毒软件的主动防御功能都是通过修改SSDT表,让恶意程序不能按照正常的情况来运行,这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件,可以利用冰刃的SSDT功能来查看,就会发现有红色标注的被修改的SSDT表信息。

  而ByShel木马通过对当前系统的SSDT表进行搜索,接着再搜索系统原来的使用的SSDT表,然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行,这样就最终让主动防御功能彻底的失效呢。

  小提示:Byshell采用国际领先的穿透技术,采用最新的内核驱动技术突破杀毒软件的主动防御。包括卡巴斯基、瑞星、趋势、诺顿等国内常见的杀毒软件,以及这些杀毒软件最新的相关版本,都可以被Byshell木马成功的进行突破。

  主动防御类木马巧清除

  病人:我明白了这类木马的原理了,但还是不知道怎么清除?

  医生:清除方法不难,和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。

  第一步:首先运行安全工具WSysCheck,点击“进程管理”标签可以看到多个粉红色的进程,这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll。当然有的时候黑客会设置其他名称,这时我们只要看到没有“文件厂商”信息的,就需要提高自己的警惕。

  第二步:接着点击程序的“服务管理”标签,同样可以看到多个红色的系统服务,这说明这些服务都不是系统自身的服务。经过查看发现一个名为hack的服务较为可疑,因为它的名称和木马模块的名称相同。

  同样如果黑客自定义其他名称的服务,则在“状态”栏看到标注为“未知”的服务,我们就要注意了,最好一一排查。

  第三步:点击程序的“文件管理”标签后,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll,与此同时还发现一个和模块文件同名的可执行文件。看来这个木马主要还是由这两个文件组成的。

  第四步:现在我们就开始进行木马的清除工作。在“进程管理”中首先找到粉红色IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击“服务管理”标签,选择名为hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除。

  再选择程序中的“文件管理”标签,对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击。现在重新启动系统再进行查看,确认木马中的被清除干净呢。

  第五步:由于木马程序破坏了杀毒软件在SSDT表中的内容,因此大家最好利用软件自带的主动修复功能来进行修复,或者直接重新将杀毒软件安装一次即可。

  总结

  以前的木马种植以前,黑客最重要的工作就是对其进行免杀操作,这样就可以躲过杀毒软件的特征码检测。是黑客现在除了进行基本的免杀外,还要想如何才能突破主动防御的功能。不过已经有木马可以突破主动防御,以后这类木马也会越来越多,因此大家一定要加强自己的安全意识。