绕过主动防御 木马病毒刺穿卡巴斯基

核心提示：绕过主动防御 木马病毒刺穿卡巴斯基

安全诊所的值班医生张帆，正在查询1些资料。这时候推门进进1位病人。病人称他最近1段时间，很多和自己相干的网络账户都被盗了，想让医生看看是甚么缘由。

张帆医生询问患者有无安装杀毒软件。患者称自己安装的杀毒软件是最新版本的卡巴斯基，不但每天准时更新病毒库，并且还打上了系统的所有补钉。

听了病人的讲述，张帆医生说：在排除系统漏洞情况下，能够绕过卡巴斯基的防御的木马就只有Evilotus。

Evilotus木马档案

Evilotus木马是由“1步江湖”推出的1款国产木马程序。这款全新的木马程序不但采取了反弹连接、线程插进、服务启动等成熟的木马技术，而且还有1些独创的木马技术。比如它具有SSDT恢复功能，通过它可以轻松绕过卡巴斯基的防御功能，实现了对卡巴斯基杀毒软件的免疫。

连接端口没法躲避

张帆医生明白，所有的木马只要成功的进行连接，接收和发送数据则必定会打开系统端口，就是说采取了线程插进技术的木马也不例外。他豫备通过系统自带的netstat命令查看开启的端口。

为了不其他的网络程序干扰自己的工作，首先将这些程序全部封闭，然后打开命令提示符窗口。张帆医生在命令行窗口中输进“netstat -ano”命令，这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现，有1个进程正在进行对外连接，该进程的PID为1872(图1)。

顺藤摸瓜查找木马

由于已取得了重要的信息内容，现在我们运行木马辅助查找器，点击“进程监控”标签，通过PID值找到可疑的Svchost进程。

选中该进程，在下面的模块列表查找，很快就找到了1个既没有“公司”说明，也没有“描写”信息的可疑DLL文件，因此判定这个就是木马服务端文件(图2)。看到该木马使用了线程插进技术，并且插进的是系统的Svchost进程。

顺利找到木马程序的进程以后，张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具，顺次点击“启动项目→服务→Win32 服务利用程序”按钮。

在弹出的窗口当选择“隐躲微软服务”选项后，程序会自动的屏蔽掉发行者是Microsoft的项目，很快医生就发现1个和木马文件名称相同的启动服务(图3)，因此判定这就是木马的启动项。

清除木马不过如此

在木马辅助查找器的“进程监控”标签中，通过PID值找到被木马程序利用的Svchost进程，选中它，点击 “终止选中进程”按钮便可以够终止该进程。选择“启动项治理”标签中的“后台服务治理”选项，在服务列表中找到木马的启动项，选择“删除服务”按钮即可。

现在打开注册表编辑器，接着点击“编辑”菜单中的“查找”命令，在弹出的窗口中输进刚刚查找到的木马文件名称，当查找到和木马文件名称相干的项目落后行修改或删除(图4)。最后我们进进系统的System32目录中，将和服务端相干的文件删除即可完成服务真个清除工作。

评论加载中... 内容： 评论者： 验证码：