是否允許Internet Explorer連接網路
目前在網路上流竄作案的木馬通常都是使用TCP端口進行遠程控制,但是這種木馬對稍具網路安全防範意識的朋友來說是很容易被發現的。狡猾的入侵者面對這種情況,開發出了利用UDP端口的木馬,這種木馬的特點就是隱蔽性極好,不容易被發現。本期,來自西安的掃黑尖兵海洋將挑戰國內第一款UDP木馬神氣兒。讓我們看看他是如何將神氣兒“弄得”沒氣兒的。www.sq120.com推薦文章
情況描述
開機後,只要我撥號上網,網路防火牆就彈出一個提示窗口,詢問是否允許“Internet Explorer”連接網路。我從提示框的“地址”一欄也證實了確實是IE流覽器的進程要求訪問互聯網,可我上網從來都只用Maxthon。原以為是系統本身的問題,便重新啟動系統,可是當我撥號上網後不久,IE流覽器便要求訪問互聯網。對系統進行一次徹底地病毒掃描,結果一無所獲。
根據端口查找線索
雖然殺毒軟體沒有掃描出結果,但我隱隱約約感覺到這個幕後黑手可能是一個木馬程式,因為流氓軟體不會對系統是否聯網進行判斷,而很多木馬才會有這個功能,之所以不被查殺可能因為它是一個全新的木馬程式,也可能被入侵者進行了特徵碼修改的免殺操作。
再次撥號上網,防火牆又出現了IE流覽器連接互聯網的請求。運行木馬輔助查找器(下載地址http://www.ysye.com/soft/446.html),這是一款可以輔助用戶進行惡意程式檢查的工具。點擊“端口信息”選項,這裏用戶不但可以查看到哪些端口被打開使用,還可以看到是哪些進程打開的這些端口,從而方便用戶根據實際的情況決定是否終止進程來關閉某些端口。點擊“刷新”按鈕可以及時更新當前的端口情況。
從查找到的資訊中我發現一個特別的地方,就是IE流覽器的進程居然用的是UDP協議,也就是說這個木馬程式也用的是UDP協議。而正常情況下,不管是IE流覽器的網路訪問,還是我們常見的木馬程式在進行數據傳輸的時候,都是採用TCP協議。
現在我只要查找到哪些木馬程式是採用UDP協議進行數據傳輸的,就可以判斷出是什麼木馬程式在作祟。通過上網搜索,發現只有一種名為神氣兒的國產木馬是採用UDP協議進行數據傳輸的。
小知識
神氣兒是國內第一款UDP木馬,此木馬號稱 “無進程、無服務、無DLL”。該木馬是以系統服務為啟動方式,使用者可以自定義木馬啟動服務的名稱、服務端程式的名稱、安裝目錄以及上線的端口等,增加了發現此木馬的難度。
根據特性 清除木馬
由於神氣兒的服務端程式是通過系統服務進行啟動的,所以要通過服務管理器來查看系統中可疑的服務。
在“我的電腦”圖示上點擊滑鼠右鍵選擇“管理”命令,接著在彈出的“電腦管理”窗口中選擇“服務”選項,然後在這些系統的服務中查找可疑的服務。果然從中查到一個名為SQE的可疑服務,接著記錄下這個啟動服務的名稱,以及所指的程式路徑:Windowssystem32spoolsv.exe。在“開始→運行”輸入CMD,進入命令提示符窗口,然後輸入“sc delete sqe”,將該服務刪除。
點擊木馬輔助查找器中的“進程監控”選項,點擊“自動掃描可疑程式”按鈕,程式會自動對當前的進程進行查看,判斷是否包含可疑進程,結果還是沒有查出可疑的線程。
我只好選擇IE流覽器的進程,接著就可以在“DLL名稱”窗口中查看該進程下所有的線程。我意外地從中找到一個可疑的線程soul.dll。終止這個假IE流覽器的進程,再將C:Windowssystem32目錄中spoolsv.exe和soul.dll檔刪除。然後重新啟動電腦,再次撥號上網,防火牆沒有彈出連接請求,木馬清除成功。
首先我要表揚海洋同學的警惕性高,在木馬運行的第一時間“逮住”了它(雖然有一定的運氣成分)。並且根據細緻入微的觀察,找到了木馬程式的“破綻”——UDP協議。
雖然海洋同學清除木馬時,靈活使用各種安全輔助工具很值得我們學習。但是阿良認為,海洋同學為我們帶來一個很重要的啟發,那就是合理使用網路防火牆以及使用非IE的流覽器。使用網路防火牆能夠在一定程度防範來自網路上的攻擊和反彈木馬連接客戶端。同時,因為目前很多木馬喜歡模仿IE連接網路,所以使用一款非IE的流覽器,可以讓大家在中了此類木馬後,增加發現木馬的概率。 |