做我自己
这天上午我到了实验室打开电脑上网看到一个免费电话全球打当即就下载了解压运行其中的EXE文件要知道我的操作系统是Win2000已经打上了各种安全补丁并且KV杀毒软件也设置了实时监控的
当我运行那个文件时KV杀毒软件就弹出了告警窗口
◎木马被隔离
为什么到这时才发现呢?因为这种木马采用了组装合成法就是把一个合法的程序和一个木马绑定当运行合法程序时木马就自动加载同时由于绑定后木马的代码发生了变化根据特征码扫描的杀毒软件是很难查出来的这也就是我中招的原因
一波三折
中了木马就要想办法清除它这个木马已被KV禁用无法与远程的木马客户端进行通信单从这个角度讲如果不去管它也无大碍可每次启动电脑KV就报告让人整天提心吊胆并且我的Maxthon浏览器每次关闭网页窗口都要弹出error提示这种情况以前从未发生过显然是这个木马搞的鬼
怎么办呢?因为是实验室的电脑光驱和软驱被拆掉了不支持U盘启动也没有做过Ghost备份所以既进入不了DOS也无法用Ghost备份来恢复我决定先试试在Win2000中能否用KV将木马清除掉可当KV查到Winserverhook.dll时电脑就自动关机重启了而且启动后要蓝屏查硬盘随后通过多次试验发现用KV2004去查不论是杀毒状态查毒状态还是询问状态只要一查到winServerHook.Dll这个文件电脑就立刻重启而且也无法复制剪切删除和修改winServerHook.Dll这个文件这使我愈发相信winServerHook.Dll是个重要的开机就要调入内存的系统动态链接库(后来的事实证明这是这个木马最容易让人上当之处)
此后我检查了注册表和几个重要的系统文件传统的木马会在注册表里或Win.iniSystem.ini文件里留下某些痕迹例如在注册表的HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion \Run中加上可疑的键值检查结果令人失望在整个注册表里都搜索不到任何有关huigezi这个键值winserver这个字符串在注册表中可以找到但我认为它是系统DLL也不敢对它下手
|柳暗花明
到此为止我认识到这种木马不简单很可能是采用了DLL动态链接库技术和反弹端口技术还好被KV及时发现并禁用它的反弹端口是Game over了可毕竟它已成功地安装它的DLL动态链接库技术就使我难以把它清除掉
小知识DLL动态链接库技术
DLL动态链接库技术是用木马DLL修改或替换常用的系统DLL文件这样做能在进程查看器中隐形而且能随系统DLL一起开机后自动启动调入内存运行难以被发现即便被发现也对企图查杀它的行为起到吓阻作用因为查杀它就可能伤害到系统文件就要冒整个系统崩溃的危险
小知识反弹端口型木马
反弹端口型木马是针对防火墙对于连入的链接会进行非常严格的过滤但是对于连出的链接却疏于防范这一特点进行渗透的与一般木马相反它是用安装在被控制电脑内部的服务端去主动连接木马的客户端而且用的是合法端口把数据包含在像HTTP或FTP的报文中采用这种技术的木马一旦被它成功地安装运行那中招电脑的防火墙简直就是形同虚设了
我尝试进入Win2000的安全模式在安全模式中系统只加载一些最基本的系统程序说不定不会加载winServerHook.Dll这个文件呢重启按F8键进入安全模式一试果然如此可以任意对winServerHook.Dll这个文件进行删除剪切等操作说明系统并没有加载它进内存我立刻把它复制到D盘做个备份万一在清除它所中的木马时出现什么问题就D盘的备份进行恢复然后运行KV来清除木马这次顺利地清除了简直是一帆风顺我重启电脑进入正常模式了但是KV2004又弹出了那个阴魂不散的窗口
为什么重启电脑后它又死而复生呢?我决定换种方式从别的Win2000系统中Copy一个winServerHook.Dll但我却惊讶地发现别人的Win2000系统中竟然没有这个文件
