»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
微点软件使用交流
» 用微点,手工查杀了一个木马
51
1/6
1
2
3
4
5
6
>
作者:
标题: 用微点,手工查杀了一个木马
atg
新手上路
积分 12
发帖 2
注册 2006-5-10
#1
用微点,手工查杀了一个木马
昨天才下载安装了微点,当下就把困扰我的一个木马给杀掉了,觉得这个软件还是很好用的,特意写出来给大家分享一下。
我的机器没开杀毒软件,因为卡巴开机检查太耗资源;只装了一个个人防火墙,仍旧使用xp SP1。系统端口被我关闭的一个不剩,135,500一概关掉。我有一个好习惯,定期用TcpView.exe查看系统和外界端口连接情况,这个软件很棒,木马再厉害,也要和外面联系,用这个就可以看出来有没有问题。
前天开始,我就发现了一个异常,本地进程Explorer.exe开始连接外面端口了,情况如下:
进程名 协议 本地 远程 状态
Explorer.EXE:3872 TCP 202.38.xx.xx:3872 211.39.138.218:80 SYN_SENT
众所周知,Explorer.exe是资源管理器,一般情况下不会连接外面的端口。远程地址用IP搜索查看了一下,是韩国的一个服务器,因为我这里是教育网的独立IP,没用代理的情况下没办法连通,所以它的状态就总是SYN_SENT,连接并未建立,既然没有连上,那我就有时间好好看看这是何方神圣了。
首先当然是看注册表的启动项,Run下面没有可疑。然后就是系统服务,也没有可疑的image。当然,也不要放过win.ini,autoexec.bat等这些最明显的启动项。统统都没有!!
我仔细检查了一下Explorer.exe这个文件,大小和位置完全正常,木马是怎么潜入进去的呢?大致查看了一下木马的寄宿状态,这种情况和动态dll注入线程很像,被注入的程序是系统正常程序,在木马dll的挟持下做不正常的勾当。普通的检测工具很难发现,除非能够直接查看宿主程序所调用的全部dll。昨天用google搜索了一下,找到了一篇文章,里面推荐使用微点,于是按图索骥,找到后下载了来,此过程不提,直接讲怎么查杀。
启动后运行,直接进入系统分析里面的进程综合信息,因为已经确定是Explorer.exe除了问题,所以直接选择该程序。下面的框框罗列出了一大堆Explorer调用的dll,往下翻翻翻,呃,,看到了。其他的程序都是xp系统自带的,唯独一个,bow.sys,鹤立鸡群般明显。路径显示在C:\Program Files\Internet Explorer\PlugIns。进去一看,是个系统隐藏文件,查看属性,建立日期和发现问题的日期吻合,应该就是他了。在杀掉之前,用UltraEdit打开再检查一下,里面的内容和QQ有关系,什么密码、中奖之类,从此确定无疑,木马就是它了。
接下来杀掉就很简单了,重新启动到Dos,把bow.sys属性修改正常,删掉即可。
系统注册表里面还有对应的信息,搜索bow.sys,删除。开机到现在,没发现异常的连接,被挟持的Explorer终于又正常了。后来用google搜索了一下bow.sys,发现果然是一个和qq有关系的木马,专门盗取qq密码。如果我那段时间使用代理服务器的话,qq估计要险遭不测了,这是后话。
总结:现在的木马越来越狡猾了,连普通的盗取qq密码的木马都做得这么隐蔽,我等已算是老鸟,尚且对此束手无策,真是让人慨叹啊。如果---这个木马不是注入到Explorer.exe,而是注入到svchost.exe;如果---我没有关闭135,500端口;如果---这个木马截取所有键盘输入......那么我用Tcpview看一年也看不出任何异常来!这才是真正的可怕之处,个人隐私将完全暴露无疑。写到这里,也要向微点的开发人员表示个人的谢意。
另外,也说一下我对微点的看法吧。开发者所述的“主动”防御,在我看来应该是主动检测系统异常的意思,可是这次事件当中,我用微点扫描系统,并未发现异常,这是不是说明微点在主动防御方面还有待加强呢?微点提供了大量系统级的信息,对于菜鸟来说可能会一头雾水,不过对老手来说绝对是个趁手的工具。
---End.
※ ※ ※ 本文纯属【atg】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-5-11 10:59
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#2
谢谢楼主对微点的支持.
病毒没有运行,那它只是普通文件,“微点”也是利用这个原理,初次使用“微点”可能您会有些不习惯,因为并不能手工扫描系统。不过当病毒运行,攻击系统时,“微点”就会出来帮您解决问题,对病毒文件进行查杀。
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2006-5-11 11:08
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22
来自 .net
#3
老大 楼主的系统明显已经运行了 微点这次的确没能抓住插入外壳的东东。。
微点还要加油~
;-)
感谢楼主分享他的手动经验。。对大家很有启发~
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~
2006-5-11 12:20
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#4
该木马针对的是QQ程序.如没运行QQ程序,该木马运行所需的环境就不能形成.也就不能对您的QQ产生威胁.如果有危险行为的动作,微点就会报警.
也可以发到我们的邮箱:virus@micropoint.com.cn 我们分析一下,谢谢.
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2006-5-11 12:41
atg
新手上路
积分 12
发帖 2
注册 2006-5-10
#5
Legent的看法不敢苟同。我对这个木马观察了一段时间,不管运行不运行qq,它都会定期连接固定的外界ip地址以及地址上的80号端口,我猜测这个木马没有自动侦测QQ程序运行的功能。
※ ※ ※ 本文纯属【atg】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-5-11 13:54
惯睡旺
注册用户
新手上路
积分 103
发帖 103
注册 2006-1-18
#6
是啊,有些病毒是要有宿主环境的.不然他就偷不了东西了.
实在不行就扔给斑竹老大分析去......
※ ※ ※ 本文纯属【惯睡旺】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
~~~ [SIZE=4][COLOR=Red]俺的微点,俺做主[/COLOR][/SIZE] ~~~
2006-5-11 14:27
反黑先锋
版主
RUNWAY
积分 2901
发帖 2857
注册 2006-6-17
#7
“可是这次事件当中,我用微点扫描系统,并未发现异常,这是不是说明微点在主动防御方面还有待加强呢?微点提供了大量系统级的信息,
对于菜鸟来说可能会一头雾水
,不过对老手来说绝对是个趁手的工具。”
楼主强啊~学习中 支持微点越来越好!
[
Last edited by 反黑先锋 on 2006-6-19 at 09:45
]
※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-6-19 09:42
fall_els
注册用户
积分 57
发帖 57
注册 2006-7-5
#8
哦!!
果然看的我一头雾水!!
还是太菜!!
得多多 !!!
※ ※ ※ 本文纯属【fall_els】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-7-6 00:15
xinyu
新手上路
积分 9
发帖 9
注册 2006-8-4
#9
我是新手,微点怎么安装不了?
朋友们好!我是什么也不懂的菜鸟,有那位朋友可以告诉我吗?微点怎么安装不了?我在安装时显示安装失败?
※ ※ ※ 本文纯属【xinyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-8-4 03:20
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
#10
请问您是什么操作系统?微点安装程序是那里下的?名称是什么?
有装防火墙或其他杀毒软件吗?
※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※
微点官方认证新浪微博:欢迎进入
微点新浪微博
微点技术支持邮箱:
support@micropoint.com.cn
给Legend发短消息
2006-8-4 03:28
51
1/6
1
2
3
4
5
6
>
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号