为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

如何对付多种木马的混合入侵

2009-2-19 10:37| 投稿: security

摘要:   这里引用的“鸡尾酒”疗法是医学名词,是指医师同时使用多种抗病毒的药物对付艾滋病。对于计算机病毒来说,单个的工具(特别是很出名的工具)很容易被病毒 列为对抗目标而失去效应,就好比医学上说的抗药性,如...
  这里引用的“鸡尾酒”疗法是医学名词,是指医师同时使用多种抗病毒的药物对付艾滋病。对于计算机病毒来说,单个的工具(特别是很出名的工具)很容易被病毒 列为对抗目标而失去效应,就好比医学上说的抗药性,如果将多个工具结合使用,就能用来对抗计算机病毒的这种抗攻击能力(抗药性)。  上周末遇到一个将主页锁定为www.321so.net的广告木马,周一又见到一个类似的案例,同样是弹广告,杀毒软件失效、任务管理器打不开、不能访问杀毒厂商的网站、安全模式蓝屏、系统还原被禁用。  遇到这种情况时,相当多的用户会寻求专杀工具来解决,以前类似现象可以用AV终结者专杀工具解决,但遗憾的是,病毒制造和传播手段也在不断进化,黑色产业链的从业者肯定不会停滞不前,他们总能找到对付杀毒软件和专杀工具的办法。  系统被这样的病毒入侵是灾难性的,我敢说:这样的病毒入侵如果没有专业人员指导,99%的用户会选择重新安装。  说说我的鸡尾酒疗法  我通常会准备这几个工具:  毒霸急救箱——一个傻瓜化的通用的木马删除工具,很多木马我们期待用它一次扫描重启就完成木马清除和系统的修复。  清理专家的独立小模块,需要的可以到爱毒霸社区下载。  重要的组件有:  进程管理器——内置安全认证的进程模块分析器。  文件粉碎器——强制删除顽固程序模块的好工具。  系统垃圾清理工具——很多下载器会藏身于系统临时文件夹和IE缓存文件夹,手动删除不如这个来的快捷。  sreng——用来分析日志。  冰忍——用来分析和杀死进程。  XDELBOX——相当好用的重启删除工具,可以直接导入需要删除的文件列表,一次重启全部删除。  处置思路  以下工具可顺序执行,也可不分先后分别执行。  1.首先尝试急救箱,这是个新工具,病毒经常用来结束安全软件运行的几个方法对急救箱都是无效的,新版本也具备一定的反rootkit能力。  对于不是太复杂的木马入侵,急救箱一次重启就搞定的比例大约为78%。  今天的这个实例急救箱失败了,表现为扫描总也无法完成,扫描中该程序会崩溃掉。  2.急救箱程序崩溃可能是被正在运行的病毒木马干扰,解决这个问题,需要进程管理器  本实例中,直接运行冰刃失败,显然是被映像劫持。随机改名后运行可以启动,但迅速被关闭。类似安全工具不能直接执行的,改名是最简单的办法。  随便将清理专家的进程管理器改名后运行,发现有system.exe在运行,还有若干个DLL模块被判定为病毒。将这些模块全部选中后结束进程。  3.将sreng随机改名后执行,将分析日志导出为log文件。 在这个日志中发现较多异常启动项目  注册表  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]      <svchest.exe><C:\WINDOWS\system32\svchest.exe> [番茄花园]  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]      <HBService32><System.exe> [N/A]  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]      <Alcmtr><anymie360.exe> []      <gem><C:\DOCUME~1\JXSJ~1.WWW\LOCALS~1\Temp\sv1D.tmp> [File is missing]  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]      <{89240220-D63C-4DCD-9E8D-080C4032ABD8}><C:\WINDOWS\system32\opikgiig.dll> []      <{59AECB4D-6A81-4A12-B617-363FC1838D58}><C:\WINDOWS\system32\lpaecbkd.dll> []      <{E89112B1-42FC-46DB-944E-DC4B0A6DBAC5}><C:\WINDOWS\system32\eophhibh.dll> []      <{176C010A-06E8-4EFD-88A4-03A03328F5BB}><C:\WINDOWS\system32\hnmcghga.dll> []      <{E99DD30A-62FF-4A0D-8395-88ABF43D8864}><C:\WINDOWS\system32\eppddjga.dll> []      <{9C21718E-9041-4C25-B5A3-058E29987703}><C:\WINDOWS\system32\pcihnhoe.dll> []      <{60EE1E55-8AB6-4191-A43A-AF71C840742C}><C:\WINDOWS\system32\mgeehell.dll> []      <{C66E9790-1597-4A33-AF9B-91F829A47B32}><C:\WINDOWS\system32\cmmepnpg.dll> []      <{B9DBE372-702A-448F-A440-8D3165184132}><C:\WINDOWS\system32\bpdbejni.dll> []      <{C1CC2E66-8D80-4B62-85FF-C54DBFED1461}><C:\WINDOWS\system32\chcciemm.dll> []      <{832F07E4-5271-4C4A-B76A-800E1B6AFE38}><C:\WINDOWS\system32\ojifgnek.dll> []      <{BB8C0FAF-2104-4FE9-A4B4-18F1F66F612B}><C:\WINDOWS\system32\bbocgfaf.dll> []      <{1BD89A31-0D8A-4681-BEDA-D12FDC93BC58}><C:\WINDOWS\system32\hbdopajh.dll> []      <{4C6C420F-215B-44E2-AC09-B4E13915F16B}><C:\WINDOWS\system32\kcmckigf.dll> []      <{BA07E3C5-7E9C-4B72-9C69-D60E204541E0}><C:\WINDOWS\system32\bagnejcl.dll> []      <{81E57996-AC4A-465D-9632-5BBB45AF9BE6}><C:\WINDOWS\system32\ohelnppm.dll> []      <{1ADCE198-C337-4EB1-99B0-46EA76564607}><C:\WINDOWS\system32\hadcehpo.dll> []      <{5B5257C8-FAC1-42BE-B5E5-F0832AC4BB39}><C:\WINDOWS\system32\lblilnco.dll> []  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]      <89240220><C:\WINDOWS\system32\opikgiig.dll> []      <59AECB4D><C:\WINDOWS\system32\lpaecbkd.dll> []      <E89112B1><C:\WINDOWS\system32\eophhibh.dll> []      <176C010A><C:\WINDOWS\system32\hnmcghga.dll> []      <E99DD30A><C:\WINDOWS\system32\eppddjga.dll> []      <9C21718E><C:\WINDOWS\system32\pcihnhoe.dll> []      <60EE1E55><C:\WINDOWS\system32\mgeehell.dll> []      <C66E9790><C:\WINDOWS\system32\cmmepnpg.dll> []      <B9DBE372><C:\WINDOWS\system32\bpdbejni.dll> []      <C1CC2E66><C:\WINDOWS\system32\chcciemm.dll> []      <832F07E4><C:\WINDOWS\system32\ojifgnek.dll> []      <BB8C0FAF><C:\WINDOWS\system32\bbocgfaf.dll> []      <1BD89A31><C:\WINDOWS\system32\hbdopajh.dll> []      <4C6C420F><C:\WINDOWS\system32\kcmckigf.dll> []      <BA07E3C5><C:\WINDOWS\system32\bagnejcl.dll> []      <81E57996><C:\WINDOWS\system32\ohelnppm.dll> []      <1ADCE198><C:\WINDOWS\system32\hadcehpo.dll> []      <5B5257C8><C:\WINDOWS\system32\lblilnco.dll> []  服务  [Provisioning Transaction Service / pangu222][Stopped/Auto Start]  <C:\WINDOWS\system32\sv1F.tmp.exe><(File is missing)> 驱动程序  [msiffei / msiffei][Stopped/Manual Start]  <System32\Drivers\msiffei.sys><N/A> [Safe Mon 360 / SafeMon0][Running/System Start]  <\??\C:\WINDOWS\system32\D9F7F2BC.dat><N/A>  在很多进程中发现病毒模块[PID: 664 / wucz][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.3156  (xpsp_sp2_qfe.070613-1311)]      [C:\WINDOWS\system32\opikgiig.dll] [N/A, ]      [C:\WINDOWS\system32\lpaecbkd.dll] [N/A, ]      [C:\WINDOWS\system32\eophhibh.dll] [N/A, ]      [C:\WINDOWS\system32\hnmcghga.dll] [N/A, ]      [C:\WINDOWS\system32\eppddjga.dll] [N/A, ]      [C:\WINDOWS\system32\pcihnhoe.dll] [N/A, ]      [C:\WINDOWS\system32\mgeehell.dll] [N/A, ]      [C:\WINDOWS\system32\cmmepnpg.dll] [N/A, ]      [C:\WINDOWS\system32\bpdbejni.dll] [N/A, ]      [C:\WINDOWS\system32\chcciemm.dll] [N/A, ]      [C:\WINDOWS\system32\ojifgnek.dll] [N/A, ]      [C:\WINDOWS\system32\bbocgfaf.dll] [N/A, ]      [C:\WINDOWS\system32\hbdopajh.dll] [N/A, ]      [C:\WINDOWS\system32\kcmckigf.dll] [N/A, ]      [C:\WINDOWS\system32\bagnejcl.dll] [N/A, ]      [C:\WINDOWS\system32\ohelnppm.dll] [N/A, ]      [C:\WINDOWS\system32\hadcehpo.dll] [N/A, ]      [C:\WINDOWS\system32\lblilnco.dll] [N/A, ]     [C:\WINDOWS\system32\anymie360.dll] [N/A, ]      [C:\WINDOWS\system32\contmenu.dll] [N/A, ] HOSTS 文件中有个仿冒QQ主页的虚假网站。98.126.33.210 www.qq.com  98.126.33.210 qq.com 经检查这个98.126.33.210来自欧洲,估计是黑客抓的一台肉鸡。4.利用多个工具强行删除上面那一长串DLL和危险EXE。我先用了文件粉碎器,浏览了windows\system32目录,把和这些DLL是同一天生成的若干个奇怪的DLL文件和EXE文件全部粉碎(这需要经验判定,没有把握的文件可以不必删除)。把分析日志发现的可疑文件列表导入xdelbox,一次重启删除。为什么要将两个工具结合使用?我的依据是,日志分析可以发现恶意软件的加载点,但对于下载器来说,也并非所有下载后的产物都会在系统启动时加载,检查windows\system32目录下的异常文件,再人为删除还是有一定的价值。5.重启电脑,发现开机速度快了不少,同时有若干DLL文件加载失败的提示框弹出。再次使用急救箱,已经不再崩溃,顺利完成了扫描,发现130多个可疑加载项。此时,我没有立即选择重启。6.尝试运行清理专家2.6.5,人工删除木马是根据经验判断,总会有所遗漏,并且,我们不大可以记住许多恶意软件对注册表和系统配置文件的修改,这里的扫尾工作还是交给清理专家的恶意软件清除模块来解决。这次发现了10多个恶意软件,全部清除之后,重复扫描已经不再发现残留。接下来再次重启电脑,分别使用清理专家的进程分析和急救箱,均未发现新的不安全的加载项,初步判定清除完毕,剩下的工作就是把这次发现的未知文件传给珠海分析了。以上步骤其实并不复杂,核心要点是进程分析以发现可疑进程,结束危险进程后,一般用户推荐使用急救箱解决,毕竟急救箱更简单,效果还是不错的。建议普通用户掌握日志导出功能,在你不能解决时,可以在论坛提交日志,请有经验的网友帮你解决。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部