鏖战一天:一个该死的木马

昨天晚睡、今天晚起、上班迟到。。。更倒霉的是,单位还要开全体会,在路上的时候,就已经接到电话,不过并沒有埋怨我迟到,而是非常着急的告诉我,投影仪不工作了,跑步前进!

到地方一看,狂昏啊,投影仪的信号线根本就沒有接到分频器上嘛,问题立刻解决,时候他们告诉我一帮人来回鼓捣了半天都没弄好,怎么都不知道检查一下最简单的线缆连接情况呢?

投影仪好了,用来播放学习资料光盘的电脑却出问题了,cpu使用率100%,加上windows的媒体播放机又是个很吃资源的家伙,没事还把窗口标题什么的都隐藏了,在cpu耗尽的情况下急难控制。看到这种情况估计就是中病毒了,果然,AVG和诺顿一个劲的弹框,AVG报的是一个Torjan,诺顿报的是ie临时文件中有一个病毒。一时半会儿收拾不好,先用超级兔子清理一下系统,然后凑合先放着电影。

在将就完成电影播放任务之后,我仔细的观察了一下这个木马,发现他很有意思。祭出ProcessExplorer查看进程,杀掉日常熟悉的可关闭进程之后,发现两点可疑之处,一是一个svchost进程下面挂着很多iexplore进程,另一个是AVG总是报一个netcfgw.exe有病毒,却始终找不到这个文件,进程中也没有。

先从可以的iexplore进程入手,起先以为是ie本身出问题了,用超级兔子把ie洗了个一干二净,但还是老样子,用cmd把iexplore.exe文件删除,几秒钟种之后他又恢复了,更改文件属性和各种覆盖方式都不行,一会儿他就被改写回去了,遂放弃,编写了一个简单的死循环批处理文件,反复用pk.exe杀死IEXPLORE进程。

再来查找系统中加载的无用程序和dll文件,系统自带的最好用的算是“系统信息”了,不过翻出来的东西太乱,也没有发现什么netcfgw.exe,只是发现有一个netcfgw.dll很可疑,但是却找不到文件,google一下,有人说这是一个盗qq密码的木马,那按说应该很容易杀除啊,可我这个怎么这么顽固?过程中还发现系统进程中,有两个可疑的svchost进程,一个就是刚才说的,作为iexplore父进程出现的那个(强制结束会导致windows在1分钟内重启,和当年冲击波一样),另外一个出现在进程列表的最后,可以强制杀死,但一会儿又复活了,隐约觉得系统中还是有一个东西在隐藏运行着,但用ProcessExplorer再也发现不了可疑进程了。

这个木马还有一个厉害的地方,在使用ad-aware和诺顿nav进行全面扫描的时候,居然会中途停止,状态其实并没有停止,只是停留在扫描一个文件的地方很长时间,寒。。。这个厉害的家伙。

没办法,既然是木马,那之后找专门的杀木马来吧,由于不知道木马的名字,也可能是变种变得太厉害了,或者只是某人经过特殊改装的木马,所以没法找专杀工具,只能使用通用的工具了。下载和使用几个对付木马的软件情况如下:

  • 木马克星,不好用,甚至在安装和启动软件的时候,会被系统背后隐藏的黑手强制关闭。
  • 木马杀客,没有名字那么厉害,什么都没有找到。
  • Torjan Remover 6.5.2,什么都没有找到。
  • TorjanHunter,下载的还是个注册版,界面不错,挺好用,简单扫描什么都没有发现,全面扫描后发现c:\windows\system32\netcfgw.dll文件是一个Torjan.Spy….木马。

通过实际演练,也大体知道这些防木马软件功力如何了。其实在漫长的查找木马过程中,我也发现刚才为什么找不到c:\windows\system32\netcfgw.dll文件了,因为他是一个系统+隐藏+只读属性的文件,用dir /a能看到,但是用del netcfgw.dll却会提示找不到文件。

同时,还发现了一个好用的软件:Sreng,比超级兔子功能要少,但使用上更加简单,用他发现一个可疑的启动注册表项:HKLM\SOFTWARE\Microsoft\Windows\Current Version\Explore\ShellExecuteHooks下面有一项内容为“c:\windows\system32\sysldr.dll”。

用TorjanHunter发现netcfgw.dll之后,显示的是能杀掉,但过会儿再去看,文件其实还在那里(可能是像iexplore.exe一样又被复制过来了),但结合Sreng发现的sysldr.dll基本上搞清楚这个木马了。

首先木马的本体是netcfgw.dll文件,运行的时候会变身为netcfgw.exe,也就是AVG发现的那个,而sysldr.dll是用来加载netcfgw的,使用钩子技术挂载在肯定会运行的explorer.exe中,同时还导致很多软件运行的时候也带着他。至于svchost和iexplore本身可能并没有感染,木马制造者只是用他们来实现访问某个网站的目的而已。

现在,杀木马就简单了,打开ProcessExplorer和一个cmd窗口,然后attrib -h -s -r netcfgw.dll & del netcfgw.dll干掉netcfgw,再在ProcessExplorer中使用搜索dll或handle功能,查找包含有sysldr.dll的进程,结果找到explorer.exe和TorjanHunter以及AVG的运行文件(再寒。。。),全部杀掉,然后同样的方法:attrib -h -s -r sysldr.dll & del sysldr.dll将其干掉,两个dll文件都位于c:\windows\system32下。重启之后,没有发现问题,木马清除完毕。

着实忙活了一天,并且也没有顾上截图,表示遗憾先。事后感觉自己已经一段时间没有用windows了,多少有些生疏,但同事、朋友们的电脑难免遭殃,自己去帮忙的时候还是要从知识上和工具上做好储备才行,现在把好用的工具罗列如下:

  • 杀毒防毒:还是信任诺顿,比较放心,升级也方便,还不用注册。注意一定要用企业版,家庭版和SystemWorks是垃圾。
  • ie修复和系统启动项:简单的可以用Sreng,复杂一点可以用超级兔子,想再彻底一点的可以用ad-aware,几个工具各有所长,可以互补。
  • 有了上两条的东西,日常使用小心些,直接拨号上网的一定要开防火墙,推荐Zone-Alarm,基本不会有大问题。
  • 查杀木马:还是用TorjanHunter吧,网上注册版很多,最近还有人推荐ewido,自己也用过一次,查杀效果还可以,但好像注册麻烦些。

上面说的几个都是被动的,主要用于出事之后,其实在日常使用的时候注意一些,这些都可以避免,下面是我经常为同事和朋友们推荐的方法,大家参考一下:

把ie的安全级别调整为最高,必须用ie的工作软件添加到信任网站中使用,一般的网站全部使用firefox浏览,这样既不影响工作和娱乐,安全性也提高了很多。

实在对firefox不感兴趣的,也可以用opera,再退一步,可以使用ie内核的greenbrowsermaxthon,但不管怎样,千万不要用原版的ie,这东西太脆弱了,简直就是万恶之源啊。

以上只针对xp,windows2003和vista几乎没用过,听说在安全性上有所改进,但不知实际效果如何。但不管怎么改,windows也是先把所有权限都给用户,再进行限制,和nix先限制用户的权限,再一点点开放的方式相比,安全性从底层机制上就有更大的漏洞,再加上没有计算机知识、毫无防范意识的用户来使用,简直就像抢劫3岁小孩那么简单。

7 thoughts on “鏖战一天:一个该死的木马”

  1. 我看不懂你說的!(现在,杀木马就简单了,打开ProcessExplorer和一个cmd窗口,然后attrib -h -s -r netcfgw.dll & del netcfgw.dll干掉netcfgw,再在ProcessExplorer中使用搜索dll或handle功能,查找包含有sysldr.dll的进程,结果找到explorer.exe和TorjanHunter以及AVG的运行文件(再寒。。。),全部杀掉,然后同样的方法:attrib -h -s -r sysldr.dll & del sysldr.dll将其干掉,两个dll文件都位于c:\windows\system32下。重启之后,没有发现问题,木马清除完毕。)

    可是我也有跟你一樣的問題

    我一直弄不掉

    請幫幫我…

    拜託了!…

    Reply

  2. 楼上的,清除这个木马要同时清除两个地方的,一个是在文件系统中,一个是在内存中运行的,两点都做到了,就算清除掉了,如果间隔的时间太长,可能他们会自己再次传染上,你就失败了。

    Reply

  3. 我看不懂你說的!(现在,杀木马就简单了,打开ProcessExplorer和一个cmd窗口,然后attrib -h -s -r netcfgw.dll & del netcfgw.dll干掉netcfgw,再在ProcessExplorer中使用搜索dll或handle功能,查找包含有sysldr.dll的进程,结果找到explorer.exe和TorjanHunter以及AVG的运行文件(再寒。。。),全部杀掉,然后同样的方法:attrib -h -s -r sysldr.dll & del sysldr.dll将其干掉,两个dll文件都位于c:\windows\system32下。重启之后,没有发现问题,木马清除完毕。)

    可是我也有跟你一樣的問題

    我一直弄不掉

    請幫幫我…

    拜託了!…

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *