標題:
如何徹底刪除木馬
[打印本頁]
作者:
ham0081
時間:
2010-2-15 15:15
標題:
如何徹底刪除木馬
目前,網遊盜號現象愈演愈烈,網遊玩家整天提心吊膽,怕哪天盜號盜到自己的頭上。難道一味地防守就能夠保住我們的號嗎?不行,我們要防守反擊,給盜號者當頭棒喝,運用法律手段保護自己的權益。本期,來自四川的劉勇,將告訴我們,他是如何來防範盜號木馬並找出盜號者的信箱的。www.sq120.com推薦文章
使用系統:Windows XP SP1
一直以來我都非常注意個人電腦的安全防範,暗自慶倖自己的網遊帳號沒有被駭客盜取。可是好景不長,前些時候我的帳戶就不幸被盜,當我將帳戶找回後,發現自己的網遊人物已經被剝了個“精光”。
更為可惡的是,在遊戲帳戶丟失的同時,我的QQ密碼、信箱密碼也幾乎同時被盜。我心裏明白,自己的系統一定是中了木馬程式,而且還不是一個普通的木馬程式,因為一般的木馬程式都只能盜取一種程式的密碼,看來這個木馬程式一定“不簡單”啊!
尋找蛛絲馬跡逮住木馬“尾巴”
首先打開註冊表管理器,在其中的Run啟動項中發現了可疑程式的啟動項,鍵值名稱為“getpsw”,關聯的程式為“C:WINNTsystem32qijian.exe”。
我們知道,所有的惡意程式都會通過各種各樣的方式進行程式的隨機啟動,而通過註冊表的Run啟動項是其中最常被病毒、木馬、盜號工具利用的。從這些可疑的名稱中我們就可以得知,這個程式是獲取密碼的意思。
接著來到系統的system32目錄下,我們都知道system32目錄一般是用於存放系統重要檔的地方。駭客正是利用了我們這些普通用戶不熟悉系統目錄和系統檔,不敢輕易對系統目錄和文件進行操作的情況,將惡意程式安裝到system32目錄中,進而迷惑用戶使之以為這些都是系統的必要檔。
其實我們只要通過對惡意檔的創建日期進行查看和對比,就可以找出很多的可疑之處。我通過對“getpsw.exe”檔的屬性進行查看後發現,“getpsw.exe”這個檔的創建日期為2006年,而我的Windows系統的大多數系統檔的創建日期在2001年,看來這個檔越來越可疑了。
為了查找其他可能和“getpsw.exe”相關聯的檔,首先記錄下“getpsw.exe”檔的創建日期,點擊“開始”菜單中“搜索”中的“檔或檔夾”命令,在彈出的搜索窗口點擊“所有檔或檔夾”選項,然後通過指定日期來進行查找。果然很快又查找到兩個和getpsw.exe同樣日期的檔,名稱分別為psw.dll和psw.bpl。
打開任務管理器,經過認真的查看後,並沒有發現可疑的進程,看來該木馬使用了線程插入技術。馬上又運行木馬輔助查找器,點擊其中的“進程監控”標籤,很快就在資源管理器的進程Explorer.exe中發現了可疑的“psw.dll”。
猛追狠打,斬草除根
現在我打算開始清除操作,首先到註冊表的Run啟動項中刪除getpsw這個啟動項,然後來到系統的system32目錄找到getpsw.exe、psw.dll、psw.bpl這三個檔進行刪除,由於psw.dll正在被使用,所以暫時不能被刪除。
馬上重新啟動系統,再對psw.dll這個檔進行刪除即可。接著再對系統的進程、啟動項、系統目錄進行檢查,沒有發現可疑檔的蹤跡,確定已經將惡意程式成功地清除了。
雖然已經成功地清除惡意程式,但還沒有完,我打算將這個盜號的黑手找出來。由於檔已經清除,所以想通過嗅探抓包分析是不可能了,不過通過十六進制工具對程式進行分析也可以。
運行Ultra Edit載入getpsw.exe,由於一般的惡意程式都是將獲取的資訊發送到指定的信箱或網址,所以搜索“.net”這個關鍵字,很快就得到了盜號者的信箱,但是沒有獲得信箱的用戶名和密碼。同時也得到了另一個信箱“max@juntuan.net”,看樣子很熟悉,好像是駭客組織“第八軍團”的信箱。馬上登錄他們的網站,果然在“軍團作品”中發現了一個名為“軍團偵察員”的盜號工具。
劉勇朋友輕易地將這款名為“軍團偵察員”的盜號木馬清除,可見他對如何清除類似木馬有相當的經驗。
同時,我們通過該木馬程式的特點,比如截取多種程式的密碼;通過採用DNS查詢MX郵件伺服器技術,成功繞開SMTP伺服器認證,實現密碼檔特快直達目標郵箱;可以看到未來盜號工具的一些雛形。
雖然該木馬程式使用了線程插入技術,但是仍然可以看出該程式在隱蔽性方面的脆弱。另外阿良提醒大家,在獲得盜號者的信箱後,我們可以通過法律手段來保護自己的權益,因為目前國家已經有明確的立法,將非法盜取別人虛擬財產作為偷盜罪的一種。
歡迎光臨 100度沸點♪動感地帶 (http://chihhao.info/)
Powered by Discuz! 7.0.0