返回列表 回復 發帖

如何狙擊迷你木馬下載者

  以前駭客認為木馬下載者程式只是起到一個過渡的作用,所以並沒有對它進行很好的偽裝,但是隨著安全軟體功能的不斷提升,駭客也認識到下載者程式偽裝的重要性。最近有一款名為Amalgam Lite下載者程式,不但程式體積非常“迷你”,而且其穿越防火牆的能力也十分了得。

IE進程常被調用
  五一節後,是病毒大量繁衍的時期。今天在病毒診所值班的徐陽醫生一大早就接待了一位病人,這位病人稱自己的電腦運行速度很慢,而且不時還彈出一個IE流覽器的進程要求訪問網路。在升級了殺毒軟體的病毒庫,對系統進行了全方位的掃描檢測後還是一無所獲。
  聽了病人的敘述後,首先徐陽醫生懷疑可能是流氓軟體,但是他很快否定了自己的想法,因為很多流氓軟體在調用IE流覽器無效後,會接著調用其他的系統進程。最後進行一系列的比對後,徐陽醫生認為患者受到最近網路上大肆作案的木馬下載者——Amalgam Lite攻擊。
Amalgam Lite檔案
  Amalgam Lite下載者程式是一款體積只有2KB大小,同時擁有反向連接穿越防火牆等功能的遠程控制程式。程式代碼採用最精簡化設置,使用CAsyncSelectEx框架,以及完全利用Windows32 SDK進行編寫。程式還可以遮罩用戶的連接,定時檢測被控端是否非正常斷開連接。
IE進程沒被插入
  徐陽醫生首先運行IceSword,點擊工具欄中的“進程”按鈕後,很快發現一個IE流覽器進程的進程(圖1),徐陽醫生明白這個IE進程一定是被該惡意程式利用了。
  為了更好地分析是什麼惡意程式利用了IE進程,他在這個IE進程上單擊滑鼠右鍵,再選擇菜單中的“模組資訊”命令。經過在彈出的“進程模組資訊”窗口認真查找,徐陽醫生並沒有發現任何惡意程式模組資訊。
  看來這個惡意程式並不是利用流行的線程插入方法來進行偽裝,而是利用IE進程來啟動運行服務端程式本身,這種方法和灰鴿子木馬的啟動方法是一樣的。
木馬利用插件啟動
  雖然知道了惡意程式的利用進程,但是並沒有查詢到任何該惡意程式的相關資訊,於是徐陽醫生覺得還是應該通過啟動項來進行檢測。結果徐陽醫生通過對註冊表啟動項,以及系統服務等常見的啟動方式進行檢測以後,均沒有發現任何可疑的啟動專案資訊。
  接著他又運行AutoRuns來查看系統啟動項。點擊程式操作介面中的“全部”標籤,經過一系列認真檢查,終於發現一個可疑的啟動項。該啟動項所指向的程式路徑為Windows的系統目錄,可是它所對應的應用程式winlogo.exe卻沒有任何“說明”和“發行商”資訊(圖2)。

  這個應用程式的名稱和系統進程Winlogon非常相似,通過這個駭客慣用的伎倆也可以斷定這個程式就是惡意程式的主文件。
  那麼這個惡意程式到底是通過什麼方式隨機啟動的呢?徐陽醫生點擊開始菜單中的“運行”命令,然後在彈出的窗口執行regedit命令打開註冊表編輯器。點擊“編輯”菜單中的“查找”命令,在彈出的窗口搜索“winlogo.exe”這個關鍵字,果然經過搜索找到一處(圖3)。  從圖中我們可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即為該惡意程式的啟動鍵值,由此我們也知道了該惡意程式是利用ActiveX插件進行隨機啟動的,怪不得我們利用常見的方法檢測不到它的啟動項。
輕鬆清除木馬下載者
  運行安全工具IceSword,在“進程”列表中選擇IE流覽器的進程,點擊右鍵菜單中的“終止進程”命令。點擊IceSword工具欄中的“檔”按鈕,通過資源列表進入木馬服務端程式安裝的System32目錄,找到winlogo.exe這個主程序,通過右鍵菜單中的“刪除”命令將它刪除(圖4)。
  接下來運行安全工具AutoRuns,在窗口中找到該木馬的啟動項,同樣點擊滑鼠右鍵中的“刪除”命令即可刪除該啟動項。重新啟動系統後發現系統運行正常,由此可以證明木馬程式已經被徹底清除乾淨。
返回列表