微点交流论坛 - 微点软件使用交流 - 用微点，手工查杀了一个木马

1/6

atg
新手上路

积分 12
发帖 2
注册 2006-5-10

#1 用微点，手工查杀了一个木马

昨天才下载安装了微点，当下就把困扰我的一个木马给杀掉了，觉得这个软件还是很好用的，特意写出来给大家分享一下。

我的机器没开杀毒软件，因为卡巴开机检查太耗资源；只装了一个个人防火墙，仍旧使用xp SP1。系统端口被我关闭的一个不剩，135，500一概关掉。我有一个好习惯，定期用TcpView.exe查看系统和外界端口连接情况，这个软件很棒，木马再厉害，也要和外面联系，用这个就可以看出来有没有问题。
前天开始，我就发现了一个异常，本地进程Explorer.exe开始连接外面端口了，情况如下：

进程名协议本地远程状态
Explorer.EXE:3872 TCP 202.38.xx.xx:3872 211.39.138.218:80 SYN_SENT

众所周知，Explorer.exe是资源管理器，一般情况下不会连接外面的端口。远程地址用IP搜索查看了一下，是韩国的一个服务器，因为我这里是教育网的独立IP，没用代理的情况下没办法连通，所以它的状态就总是SYN_SENT，连接并未建立，既然没有连上，那我就有时间好好看看这是何方神圣了。
首先当然是看注册表的启动项，Run下面没有可疑。然后就是系统服务，也没有可疑的image。当然，也不要放过win.ini,autoexec.bat等这些最明显的启动项。统统都没有！！
我仔细检查了一下Explorer.exe这个文件，大小和位置完全正常，木马是怎么潜入进去的呢？大致查看了一下木马的寄宿状态，这种情况和动态dll注入线程很像，被注入的程序是系统正常程序，在木马dll的挟持下做不正常的勾当。普通的检测工具很难发现，除非能够直接查看宿主程序所调用的全部dll。昨天用google搜索了一下，找到了一篇文章，里面推荐使用微点，于是按图索骥，找到后下载了来，此过程不提，直接讲怎么查杀。
启动后运行，直接进入系统分析里面的进程综合信息，因为已经确定是Explorer.exe除了问题，所以直接选择该程序。下面的框框罗列出了一大堆Explorer调用的dll，往下翻翻翻，呃，，看到了。其他的程序都是xp系统自带的，唯独一个，bow.sys，鹤立鸡群般明显。路径显示在C：\Program Files\Internet Explorer\PlugIns。进去一看，是个系统隐藏文件，查看属性，建立日期和发现问题的日期吻合，应该就是他了。在杀掉之前，用UltraEdit打开再检查一下，里面的内容和QQ有关系，什么密码、中奖之类，从此确定无疑，木马就是它了。
接下来杀掉就很简单了，重新启动到Dos，把bow.sys属性修改正常，删掉即可。
系统注册表里面还有对应的信息，搜索bow.sys，删除。开机到现在，没发现异常的连接，被挟持的Explorer终于又正常了。后来用google搜索了一下bow.sys，发现果然是一个和qq有关系的木马，专门盗取qq密码。如果我那段时间使用代理服务器的话，qq估计要险遭不测了，这是后话。

总结：现在的木马越来越狡猾了，连普通的盗取qq密码的木马都做得这么隐蔽，我等已算是老鸟，尚且对此束手无策，真是让人慨叹啊。如果---这个木马不是注入到Explorer.exe，而是注入到svchost.exe；如果---我没有关闭135，500端口；如果---这个木马截取所有键盘输入......那么我用Tcpview看一年也看不出任何异常来！这才是真正的可怕之处，个人隐私将完全暴露无疑。写到这里，也要向微点的开发人员表示个人的谢意。

另外，也说一下我对微点的看法吧。开发者所述的“主动”防御，在我看来应该是主动检测系统异常的意思，可是这次事件当中，我用微点扫描系统，并未发现异常，这是不是说明微点在主动防御方面还有待加强呢？微点提供了大量系统级的信息，对于菜鸟来说可能会一头雾水，不过对老手来说绝对是个趁手的工具。

---End.

※ ※ ※ 本文纯属【atg】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-5-11 10:59

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

谢谢楼主对微点的支持.
病毒没有运行，那它只是普通文件，“微点”也是利用这个原理，初次使用“微点”可能您会有些不习惯，因为并不能手工扫描系统。不过当病毒运行，攻击系统时，“微点”就会出来帮您解决问题，对病毒文件进行查杀。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2006-5-11 11:08

zqrsc
版主

反病毒区版主

积分 1133
发帖 1118
注册 2005-11-22
来自 .net

#3

老大楼主的系统明显已经运行了微点这次的确没能抓住插入外壳的东东。。
微点还要加油~
；-）
感谢楼主分享他的手动经验。。对大家很有启发~

※ ※ ※ 本文纯属【zqrsc】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~

2006-5-11 12:20

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

该木马针对的是QQ程序.如没运行QQ程序,该木马运行所需的环境就不能形成.也就不能对您的QQ产生威胁.如果有危险行为的动作,微点就会报警.
也可以发到我们的邮箱:virus@micropoint.com.cn 我们分析一下,谢谢.

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2006-5-11 12:41

atg
新手上路

积分 12
发帖 2
注册 2006-5-10

#5

Legent的看法不敢苟同。我对这个木马观察了一段时间，不管运行不运行qq，它都会定期连接固定的外界ip地址以及地址上的80号端口，我猜测这个木马没有自动侦测QQ程序运行的功能。

※ ※ ※ 本文纯属【atg】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-5-11 13:54

惯睡旺
注册用户

新手上路

积分 103
发帖 103
注册 2006-1-18

#6

是啊，有些病毒是要有宿主环境的.不然他就偷不了东西了.
实在不行就扔给斑竹老大分析去......

※ ※ ※ 本文纯属【惯睡旺】个人意见，与【微点交流论坛】立场无关※ ※ ※

~~~ [SIZE=4][COLOR=Red]俺的微点,俺做主[/COLOR][/SIZE] ~~~

2006-5-11 14:27

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#7

“可是这次事件当中，我用微点扫描系统，并未发现异常，这是不是说明微点在主动防御方面还有待加强呢？微点提供了大量系统级的信息，对于菜鸟来说可能会一头雾水，不过对老手来说绝对是个趁手的工具。”

楼主强啊～学习中支持微点越来越好！

[ Last edited by 反黑先锋 on 2006-6-19 at 09:45 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-6-19 09:42

fall_els
注册用户

积分 57
发帖 57
注册 2006-7-5

#8

哦!!
果然看的我一头雾水!!
还是太菜!!
得多多 !!!

※ ※ ※ 本文纯属【fall_els】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-7-6 00:15

xinyu
新手上路

积分 9
发帖 9
注册 2006-8-4

#9 我是新手,微点怎么安装不了?

朋友们好!我是什么也不懂的菜鸟,有那位朋友可以告诉我吗?微点怎么安装不了?我在安装时显示安装失败?

※ ※ ※ 本文纯属【xinyu】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-4 03:20

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#10

请问您是什么操作系统?微点安装程序是那里下的?名称是什么?
有装防火墙或其他杀毒软件吗?

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2006-8-4 03:28

1/6

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号