Board logo

标题: 用微点,手工查杀了一个木马 [打印本页]
作者: atg     时间: 2006-5-11 10:59    标题: 用微点,手工查杀了一个木马

昨天才下载安装了微点,当下就把困扰我的一个木马给杀掉了,觉得这个软件还是很好用的,特意写出来给大家分享一下。

我的机器没开杀毒软件,因为卡巴开机检查太耗资源;只装了一个个人防火墙,仍旧使用xp SP1。系统端口被我关闭的一个不剩,135,500一概关掉。我有一个好习惯,定期用TcpView.exe查看系统和外界端口连接情况,这个软件很棒,木马再厉害,也要和外面联系,用这个就可以看出来有没有问题。
前天开始,我就发现了一个异常,本地进程Explorer.exe开始连接外面端口了,情况如下:

进程名                   协议    本地                    远程                        状态
Explorer.EXE:3872  TCP  202.38.xx.xx:3872  211.39.138.218:80 SYN_SENT

众所周知,Explorer.exe是资源管理器,一般情况下不会连接外面的端口。远程地址用IP搜索查看了一下,是韩国的一个服务器,因为我这里是教育网的独立IP,没用代理的情况下没办法连通,所以它的状态就总是SYN_SENT,连接并未建立,既然没有连上,那我就有时间好好看看这是何方神圣了。
首先当然是看注册表的启动项,Run下面没有可疑。然后就是系统服务,也没有可疑的image。当然,也不要放过win.ini,autoexec.bat等这些最明显的启动项。统统都没有!!
我仔细检查了一下Explorer.exe这个文件,大小和位置完全正常,木马是怎么潜入进去的呢?大致查看了一下木马的寄宿状态,这种情况和动态dll注入线程很像,被注入的程序是系统正常程序,在木马dll的挟持下做不正常的勾当。普通的检测工具很难发现,除非能够直接查看宿主程序所调用的全部dll。昨天用google搜索了一下,找到了一篇文章,里面推荐使用微点,于是按图索骥,找到后下载了来,此过程不提,直接讲怎么查杀。
启动后运行,直接进入系统分析里面的进程综合信息,因为已经确定是Explorer.exe除了问题,所以直接选择该程序。下面的框框罗列出了一大堆Explorer调用的dll,往下翻翻翻,呃,,看到了。其他的程序都是xp系统自带的,唯独一个,bow.sys,鹤立鸡群般明显。路径显示在C:\Program Files\Internet Explorer\PlugIns。进去一看,是个系统隐藏文件,查看属性,建立日期和发现问题的日期吻合,应该就是他了。在杀掉之前,用UltraEdit打开再检查一下,里面的内容和QQ有关系,什么密码、中奖之类,从此确定无疑,木马就是它了。
接下来杀掉就很简单了,重新启动到Dos,把bow.sys属性修改正常,删掉即可。
系统注册表里面还有对应的信息,搜索bow.sys,删除。开机到现在,没发现异常的连接,被挟持的Explorer终于又正常了。后来用google搜索了一下bow.sys,发现果然是一个和qq有关系的木马,专门盗取qq密码。如果我那段时间使用代理服务器的话,qq估计要险遭不测了,这是后话。

总结:现在的木马越来越狡猾了,连普通的盗取qq密码的木马都做得这么隐蔽,我等已算是老鸟,尚且对此束手无策,真是让人慨叹啊。如果---这个木马不是注入到Explorer.exe,而是注入到svchost.exe;如果---我没有关闭135,500端口;如果---这个木马截取所有键盘输入......那么我用Tcpview看一年也看不出任何异常来!这才是真正的可怕之处,个人隐私将完全暴露无疑。写到这里,也要向微点的开发人员表示个人的谢意。

另外,也说一下我对微点的看法吧。开发者所述的“主动”防御,在我看来应该是主动检测系统异常的意思,可是这次事件当中,我用微点扫描系统,并未发现异常,这是不是说明微点在主动防御方面还有待加强呢?微点提供了大量系统级的信息,对于菜鸟来说可能会一头雾水,不过对老手来说绝对是个趁手的工具。

---End.
作者: Legend     时间: 2006-5-11 11:08
谢谢楼主对微点的支持.
病毒没有运行,那它只是普通文件,“微点”也是利用这个原理,初次使用“微点”可能您会有些不习惯,因为并不能手工扫描系统。不过当病毒运行,攻击系统时,“微点”就会出来帮您解决问题,对病毒文件进行查杀。
作者: zqrsc     时间: 2006-5-11 12:20
老大 楼主的系统明显已经运行了 微点这次的确没能抓住插入外壳的东东。。
微点还要加油~
;-)
感谢楼主分享他的手动经验。。对大家很有启发~
作者: Legend     时间: 2006-5-11 12:41
该木马针对的是QQ程序.如没运行QQ程序,该木马运行所需的环境就不能形成.也就不能对您的QQ产生威胁.如果有危险行为的动作,微点就会报警.
也可以发到我们的邮箱:virus@micropoint.com.cn 我们分析一下,谢谢.
作者: atg     时间: 2006-5-11 13:54
Legent的看法不敢苟同。我对这个木马观察了一段时间,不管运行不运行qq,它都会定期连接固定的外界ip地址以及地址上的80号端口,我猜测这个木马没有自动侦测QQ程序运行的功能。
作者: 惯睡旺     时间: 2006-5-11 14:27
是啊,有些病毒是要有宿主环境的.不然他就偷不了东西了.
实在不行就扔给斑竹老大分析去......
作者: 反黑先锋     时间: 2006-6-19 09:42
“可是这次事件当中,我用微点扫描系统,并未发现异常,这是不是说明微点在主动防御方面还有待加强呢?微点提供了大量系统级的信息,对于菜鸟来说可能会一头雾水,不过对老手来说绝对是个趁手的工具。”

楼主强啊~学习中 支持微点越来越好!

[ Last edited by 反黑先锋 on 2006-6-19 at 09:45 ]
作者: fall_els     时间: 2006-7-6 00:15
哦!!
果然看的我一头雾水!!
还是太菜!!
得多多 !!!
作者: xinyu     时间: 2006-8-4 03:20    标题: 我是新手,微点怎么安装不了?

朋友们好!我是什么也不懂的菜鸟,有那位朋友可以告诉我吗?微点怎么安装不了?我在安装时显示安装失败?
作者: Legend     时间: 2006-8-4 03:28
请问您是什么操作系统?微点安装程序是那里下的?名称是什么?
有装防火墙或其他杀毒软件吗?
作者: xinyu     时间: 2006-8-4 03:44    标题: 我是新手,微点怎么安装不了?

XP系统.微点安装程序是http://www.micropoint.com.cn/download/  金山网镖.
作者: 和尚     时间: 2006-8-4 03:55
嘿嘿,不会是被防火墙给挡下了吧,把防火墙停掉,再安装一次看看贝.~~~
作者: xinyu     时间: 2006-8-4 04:19
谢谢你们,我不知道安装好了没有?安全中心显示有微点,可我安装显示安装服务:失败.是不是把以前的查毒的删了?
作者: xinyu     时间: 2006-8-4 04:21
出现了

主界面初始化错误!
错误代号:E0000002
作者: Legend     时间: 2006-8-4 04:24
在防火墙的规则中添加微点的五个进程(MPmain.exe、MPMon.exe、MPSVC.exe、MPSVC1.exe、MPSVC2.exe),允许他们访问网络,然后重启系统即可.
作者: xinyu     时间: 2006-8-5 12:57
不好意思,又来麻烦那么了,安装好了,我把软件打开,出现

初始化错误!

请稍候重试

返回代码:31
错误代号:E0000006

怎么办啊?
作者: Legend     时间: 2006-8-5 13:18
请问是否已经添加了微点的5个进程到您的防火墙?
请重新启动下微点的服务试试看
作者: xinyu     时间: 2006-8-7 10:12
MPmain.exe添加不进去.
作者: xinyu     时间: 2006-8-8 11:49
谢谢!微点装好了.就是  <进程网络信息>  栏里有红黄绿表示什么? 微点里还要设置那些东西?
作者: Legend     时间: 2006-8-8 12:00


  Quote:
Originally posted by xinyu at 2006-8-7 10:12:
MPmain.exe添加不进去.

请问有什么提示信息
作者: Legend     时间: 2006-8-8 12:10


  Quote:
Originally posted by xinyu at 2006-8-8 11:49:
谢谢!微点装好了.就是  <进程网络信息>  栏里有红黄绿表示什么? 微点里还要设置那些东西?

红色代表正在进行网络连接,绿色代表退出网络连接,黄色代表由网络流量;
这些信息您可以看下微点的帮助文件;您可以设置程序行为实施监控是自动处理还是询问后处理,其他的不需要设置;
作者: xinyu     时间: 2006-8-9 08:19
我现在就是要把 <传统防火墙设置>搞好来,帮助里面好象没有写,还是要麻烦你.UC里那个是你啊?可以告诉我吗?
作者: Legend     时间: 2006-8-9 08:27
你可以加入到我们的QQ群,管理员可以在线帮你解答防火墙的相关设置.反病毒交流QQ群(16998902,1471553,630086)
作者: xinyu     时间: 2006-8-9 22:14
我有个建议,UC团体ID(5064766)、在线帮解答啊.用视频多方便啊.
作者: 水元素     时间: 2006-8-10 09:58
xinyu,不如你重新装个干净的系统,然后再装微点?
作者: li0171241     时间: 2006-8-13 12:30
不懂.我太菜
作者: zhphuoniao     时间: 2006-8-15 21:59    标题: zhphuoniao

是蛮好用的,我现在什么杀毒软件都不用,只用这个东东啦。我也算老网虫一个啦。
作者: ぶ怒海狂龙ぶ     时间: 2006-8-19 22:44
支持微点吧,创新的理念来自众人的关注和认同~
作者: enterzx     时间: 2006-12-28 12:43
就是就是,楼主强啊
作者: lienhong1983     时间: 2006-12-28 13:25
呵呵,我今天刚装上了,看看会出问题不会
作者: jr21066     时间: 2006-12-28 16:54
在系统已经有木马的情况下。微点可能发现不了的
在系统干净安全的情况下。安装微点比较好
作者: zhuce12345     时间: 2007-1-1 12:41
哦!!
果然看的我一头雾水!!
还是太菜!!
作者: 518     时间: 2007-5-13 22:32    标题: ***我遇到的问题----盼回***

昨天朋友推荐微点给我,说比较好.
   找到论坛看\用百度搜索\安装
   安装好一检查,吓我一跳:7个木马程序(我的电脑有瑞星和奇虎,用它们检查的结果是什么都没有)
   看提示  当然是删除  
   不删还好   一删就把系统弄成半死机状态了______打开一个文件跟蜗牛一样慢  按三组合键看任务管理器   我的天:CPU就停留在100%不动了
   没办法   只好重新启动   用瑞星开机扫描  什么也没有  不一会微点提示发现木马程序  重复前面的故事:删-------半死机状态------重新启动 (我看了下  其中有3个木马被我找到   都是隐藏文件    手动无法删除    说是正在被使用)
   忙得头晕眼花  最后把网络电视(怀疑是它引来的)卸载   又用windows优化大师把系统重新优化   检查CPU风扇正常   也想进纯dos状态手动删除    但苦于没有dos启动盘
   今天实在没办法   把微点卸载了  系统还正常了   cpu到100%还能够降下来  不然我根本上不了这里
   各位高手,现在有几个问题:
   1、我机子里是否有木马(或许是我下载的微点本来就自己带了木马)?
   2、如果有木马,最有效的办法是什么?
   3、瑞星和奇虎360难道是废物了?(在安装微点以前,我多次用它们检查出木马和病毒并处理的很干净)
   4、我下载的是测试版,它提示只有90天有效  是否过90天后要收费?
作者: zhangjifeng     时间: 2007-5-13 23:25    标题: 技术不错

技术不错,学习以下
作者: haoyuenan     时间: 2007-10-17 17:14
感谢楼主发自己的经验分享给大家,学习了
作者: shuxipo587     时间: 2007-10-17 19:10
向楼主学习,生命不息,学习不止
作者: zxcy     时间: 2007-10-18 07:35
对于菜鸟来说可能会一头雾水果然看的我一头雾水!!
作者: cwk32     时间: 2007-10-21 10:13
你可以尝试先把那个bow.sys在DLL列表中禁止,这时桌面会重启,然后就可以删了
作者: caibin870     时间: 2007-10-21 11:00
学习一下!
作者: 金风细雨     时间: 2007-10-26 15:58
加油啊微点,期待你强大的一天
作者: beijingju     时间: 2007-10-26 18:34
多谢楼主共享经验,向您学习.
同时感谢Legend 超级版主的解答.
作者: 5846297     时间: 2007-10-27 00:16
路过,学习了~~~~~
作者: qcwlzhaoqun     时间: 2007-10-27 17:44
写了这么多

真辛苦你了  只是小问题啊  我也能搞定的
作者: 518     时间: 2008-1-6 15:39    标题: 学习了, 支持下!

:cool:  先感谢楼主分享经验!!!
      任何东西都没有最好的,只有更好的!微点就不是最好的,但是我相信它能够做得更好!目前本人还没发现比微点让人放心的安全软件!
      大家多学习楼主,把自己的经验贡献出来,让微点做得更好!信任微点!!!
作者: ajue214     时间: 2008-1-6 16:17
我自己昨天刚安装了
来学习
作者: 834492731     时间: 2008-1-17 12:57
微点还是应该加一个扫描的,就靠这主动防御还是不太放心!
作者: 古市经     时间: 2008-2-16 19:47
看的我一头雾。楼主强
作者: 不良用户     时间: 2008-3-12 23:21
其实windows优化大师早就有分析系统进程的功能,我在两三年前就用优化大师6.5版本干过和楼主类似的事情.

当时根本不用进dos,在优化大师里面查到病毒驱动文件后,直接终止Explorer,当时屏幕很多东西都没有,但没有崩溃,还可以进资源管理器,找到那个病毒驱动删除后重新启动,搞定
作者: 深度扫描     时间: 2008-3-13 09:16
仔细看了楼主的文章。。。很好,真是老鸟啊。。。佩服!
作者: luyou006     时间: 2008-3-18 14:58
不是很懂。我四菜鸟,新手。多关照。
作者: davidxwzhang     时间: 2008-4-18 00:40
感谢楼主分享他的手动经验。。对大家很有启发~



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn