如今,無論用於網頁木馬還是遠程溢出,駭客都會選擇一款小巧的木馬程式。隨著殺毒軟體和防火牆功能的逐步提高,木馬程式的隱蔽性也是越來越強。比如今天介紹的這款木馬程式,無論是隨機啟動還是穿越防火牆都是使用的系統程式,這樣就為我們的檢測帶來非常大的困難。那麼怎樣才能順利清除這款木馬程式呢?www.sq120.com推薦文章
今天一網友說說自己剛剛完成不久的一張設計圖被其他的設計師剽竊,問是怎麼回事?聽了講述,已經隱約懷疑是木馬程式作祟,但是哪一款木馬程式呢?在隨後的檢測中發現:這個惡意程式非常奇怪,既沒有相關的進程又沒有啟動項,就好像在系統中透明的一樣,難道這就是江湖中傳聞的“踏雪無痕”?這時,周醫生立刻明白了,這個木馬程式就是TinyRAT。
木馬的技術特點
TinyRAT是一款全新的遠程控制軟體,它最大的特點之一就是服務端程式“短小精悍”,通過FSG壓縮後只有12KB大小,所以非常適合用於網頁木馬、檔捆綁等操作。
另外,由於木馬調用SvcHost.exe服務,同時使用了一些程式替換技術,所以程式可以在卡巴斯基默認的設置下,隨機自動啟動並輕鬆穿透防火牆的攔截。
木馬隱藏得太深
周醫生打算從木馬的啟動項和進程開始下手,接著就可以順藤摸瓜然後將病毒一網打盡。首先運行System Repair Engineer,點擊“智能掃描”按鈕後選擇“所有的啟動專案”和“正在運行的進程”選項,接著對系統進行一個全方位的掃描。
當程式掃描完成後,周醫生從提交的報告中並沒有看出任何的可疑之處(圖1)。周醫生心裏想:這個木馬程式果然隱藏得夠深啊!
既然通過傳統的方法不能找出木馬的相關內容,那麼這個木馬程式該如何查找分析呢?這時周醫生看到系統欄中的網路狀態窗口,想到我們可以通過查看進程再進行數據傳輸,這樣就可以查找到木馬程式的進程。
於是關閉系統中所有運行的程式,接著運行木馬輔助查找器。再點擊“端口信息”標籤列表,果然發現有一項Svchost進程在進行數據傳輸,這裏我們記下該進程PID值(圖2)。
PID值:是進程標誌符。PID列代表了各進程的ID,也就是說PID就是各進程的身份標誌。打開系統的“任務管理器”並點擊“進程”標籤,接著點擊“查看”菜單中的“選擇列”命令,然後在彈出的窗口中選擇“PID”一項。這時你就能看到進程列表中的PID值了,PID值越小越好。
發現木馬真身
點擊“進程監控”標籤,從列表中選中前面那個PID值的Svchost進程後,在下面的模組列表中果然發現了一個既沒有“公司”說明,也沒有“描述”資訊的可疑DLL檔。
根據檔的路徑資訊找到SysAdsnwt.dll檔,根據它的生成時間可以確認這個檔就是木馬的服務端檔(圖3)。
然後周醫生開始尋找木馬程式的啟動項。既然已經知道木馬程式利用了Svchost進程,我們還是通過它來進行查找。我們知道Svchost進程其實就是“Service Host”(服務宿主)的縮寫,它本身並不能給用戶提供任何服務,而是專門為系統啟動各種服務的。
由於系統服務在註冊表中都設置了相關參數,因此Svchost通過讀取某服務在註冊表中的資訊,即可知道應該調用哪個動態鏈接庫。這樣只要查找到調用SysAdsnwt.dll檔的系統服務,就可以查找到木馬的啟動項。
清除木馬很簡單
現在看看如何對TinyRAT木馬進行卸載清除。首先運行註冊表編輯器,接著點擊“編輯”菜單中的“查找”命令,在彈出的窗口中輸入查找內容為“SysAdsnwt.dll”。
由於在註冊表中服務下邊有一個Parameters的子鍵,其中的ServiceDll表明該服務由動態鏈接庫負責,所以凡是查找到名為ServiceDll的專案的統統刪除。
接著在“木馬輔助查找器”中選擇“進程監控”標籤,選擇木馬利用的Svchost進程後點擊窗口的“終止選中進程”按鈕即可。最後進入系統的System32目錄中,將該DLL檔刪除就完成了木馬的清除工作。 |
