科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道清除以服务启动DLL插入型木马 (2)

清除以服务启动DLL插入型木马 (2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

前两天朋友的服务器被人挂马了,很可能服务器系统也被人植入了木马,朋友把排查木马的这个艰巨任务交给了我。最后成功地将服务器上的木马借助工具手工清除。(由于当时的过程没有记录下来,所以以下的操作过程是虚拟机搭建的win2003环境,模拟木马清除全过程)。

来源:论坛整理 2008年11月2日

关键字: 安全防范 病毒查杀 木马

  • 评论
  • 分享微博
  • 分享邮件
   最终果真在模块信息里找到一个非常可疑的模块信息。图6

 

 

  图6

    
    看到了一个1038953.BAK,之后在该模块上点击鼠标右键弹出一个列表有复制的选项,将这个模块复制保存出来,用文件比较工具将前面复制出来的iasex.dll和这个文件进行比较,发现两个文件是完全相同的文件,毫无疑问,这个文件就是对外连接的木马文件。说到为什么直接就怀疑了是这个文件,原因很简单,我们看到文件的基址也就是Base只有这个模块是0x10000000,而根据以往经验,一般系统进程加载的正常模块都是0x50000000以上的。

  接下来就是排查这个木马是怎么启动的了,查看了下注册表下的所有RUN键值都是正常的,以及其他的一些可能启动木马的位置,有的是以ActiveX启动,也排查了所有ActiveX项,最后判定这个木马是以服务启动的,目前的多数木马都是这样启动,对于服务启动这样的木马在系统用户没有登录前就可以对目标电脑进行控制的,危险性十分高。

  可以打开打开服务管理器进行检查,这里还是借助冰刃,比较直观,我们可以缩小范围,排查所有以svchost.exe启动的服务,且进程ID为820的svchost.exe,最后找到了一个陌生的可以断定就是启动木马的服务,因为其他的进程ID820的服务都是我所熟悉的服务,图7

 

  图7

    
    之后停掉这个服务,重新启动服务器,查看端口,已经找不到开放的80端口了,最后确定这个就是启动木马的服务。

   我们还可以借助一个功能更强大一些的工具Atool,这个工具可以直接看到服务幕后对应的模块,而冰刃最终看到的是某个进程启动,图8

 

   

  图8

    
    图8中最后的这个服务就是图7中我们排查到的服务,图8中的ATOOL直接显示出了模块名称。

  最后我们清理系统中的残留文件首先,用冰刃删除System32下的1038953.bak和Iasex.dll,之后在“开始”?“运行”中输入regedit,打开注册表编辑器,当然你也可以借助冰刃来完成,之后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 下删除Ias整个这一项,如图9,也就是删除木马的服务。

 

   

  图9

    
    这样整个木马的清除过程就完成了

  小结:通过木马的种种迹象,最后得知这个木马的名字叫做“Gh0st RAT”,是一款远程控制木马,对服务器有所有的操作权限,包括文件的上传下载,屏幕查看,CMD命令执行,操作这款木马的黑客就像是在操作自己的电脑一样,这款木马是以DLL插入svchost.exe进程,之后以服务启动的,对于类似于这样的木马都可以按照本文的方式来清除。对于一个服务器管理者来说,仅仅有杀毒软件来防护木马是不够的,有些木马是黑客经过处理后对于杀软是免疫的,这样就需要养成比较好的习惯,例如经常给服务器的进程模块进行快照备份,在查找木马的时候就会事半功倍。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章