论文部分内容阅读
首杀木马
新马通缉令:“摩登王”变种C木马后门
杀毒软件测试:
瑞星2008(病毒库更新:2008.05.26):木马无法正常运行时,但无法完全清除木马的DLL文件。
卡巴斯基(病毒库更新:2008.05.26):木马运行时被完全查杀。
江民KV2008(病毒库更新:2008.05.25):木马运行时杀毒软件无反应,当木马注入到explorer.exe时,杀毒提示内存错误,但木马依旧运行。
Avira(病毒库更新:2008.05.25):木马在调用xsinddr.dll被杀毒软件发现并进行了删除,木马无法正常运行。
犯罪纪录:摩登王木马是SINFFER类木马后门的一种,此类木马主要是利用ARP欺骗劫持IP地址并监听局域网中的密码信息,常被应用于网吧等娱乐场所盗窃网络游戏账号,由于木马采用非常流行的蠕虫繁衍技术并采用ARP传播,影响范围非常广。
木马分析:此木马会利用多媒体文件或者网页作为载体对电脑进行侵入性感染,本木马结合蠕虫病毒进行内网传播,当打开多媒体文件或网页木马时摩登王木马将自动植入用户计算机。木马随即生成多个特殊文件,如sprot.dll、xsinddr.dll rutct.bat rctyy.rcl等。当木马运行完成后自动启用xsinffer.exe程序进行嗅探并将数据利用8081端口发送到黑客的服务器中,完成机密信息窃取。
木马主体:采用Visual C++ 6.0编写,并经过加壳保护处理,自我复制到被感染系统的“%SystemRoot%\system32\”目录下,并重新命名为“tcpip.exe”。自我注册为系统服务,实现“摩登王”变种开机自动运行。在被感染计算机系统的后台搜索某些与安全相关的进程,一旦发现便将其强行关闭,达到自我保护的目的。将恶意可执行代码分别注入到系统IE浏览器进程“IEXPLORE.EXE”和系统桌面程序进程“explorer.exe”中,然后调用执行恶意操作。木马会自动探测局域网中存在的计算机并进行ARP攻击调用一个xsinffer.exe的嗅探工具对局域网内用户计算机的机密信息进行盗窃。
解决方案:
1.在安全模式下搜索tcpip.exe文件进行删除。
2.木马在运行后会释放多个特殊文件,如sprot.dll、xsinddr.dll、rutct.bat、rctyy.rcl,这些文件会利用DLL注入技术插入到IEXPLORE.EXE和explorer.exe中,可以利用IceSword检查是否存在注入。发现后进行删除。
3.利用防火墙封闭8081端口,木马利用此端口发送嗅探获取的数据。
小知识:ARP欺骗在木马中的作用
ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成电脑无法收到信息,而木马就可以采用xsinffer软件将数据截取。
1.顽固病毒可“强杀”
大家在电脑上删除文件的时候,往往会遇到以下提示:“删除文件或文件夹时出错”,这是因为这些文件、文件夹被正系统调用或某些程序使用。如Word文档在打开的状态下,就是拒绝被删除的,重要的系统文件也是不能删除的,这是系统为了避免文件紊乱而采取的保护性措施。
有些病毒就利用了这个机制,他们会冒充系统文件或把病毒文件设置成为正在使用状态,使得系统的文件保护与杀毒软件产生“误会”,造成病毒清除失败。这时杀毒软件会报告“病毒清除失败”或者“重启计算机后删除”,而这些病毒在重启后也往往不能清除。
图1
传统杀毒软件解决这个病毒的方法,是进入安全模式杀毒或者使用光盘引导杀毒,操作过程比较复杂。瑞星杀毒软件2008版中加入了“强杀文件”功能,只要将“使用强杀文件”功能开启后,可以强制删除这些文件:先打开瑞星杀毒软件,点击“设置→监控设置”,在弹出窗口左侧选择“文件监控”,然后在右侧勾选“高级设置”标签下的“使用强杀文件”即可(见图1)。
2.网页打开慢?有办法!
上网慢是大家经常遇到的情况,如果别的操作都很快,迅雷下载没问题、QQ聊天也没事,那就可能是以下两种情况:
第一种,如果在局域网环境下,可以看下打开网页时左下角的地址显示的网址,是不是自己要打开网页的地址,如果不是的话,就可能是中了ARP病毒。在局域网中只要有一台电脑感染了ARP病毒,它就可能向网内所有电脑发起ARP攻击,网内用户访问的正常网页会被替换成带毒网页等(见图2)。
图2
这种情况下应该全网升级杀毒软件,断网杀毒,然后把电脑的临时文件清空。同时,还应该进行一些服务器端和客户端的反ARP设置,预防此类情况的再次发生。
第二种,如果是单机上网,或者打开网页时左下角的地址就是自己要打开的网页,可以尝试把防火墙的网址过滤关闭,再看是否还有问题。将网址过滤关闭后,上网正常,可能是瑞星防火墙的rfwproxy.exe进程被阻止了,可以把rfwproxy.exe添加到杀毒软件的白名单里即可。
新马通缉令:“摩登王”变种C木马后门
杀毒软件测试:
瑞星2008(病毒库更新:2008.05.26):木马无法正常运行时,但无法完全清除木马的DLL文件。
卡巴斯基(病毒库更新:2008.05.26):木马运行时被完全查杀。
江民KV2008(病毒库更新:2008.05.25):木马运行时杀毒软件无反应,当木马注入到explorer.exe时,杀毒提示内存错误,但木马依旧运行。
Avira(病毒库更新:2008.05.25):木马在调用xsinddr.dll被杀毒软件发现并进行了删除,木马无法正常运行。
犯罪纪录:摩登王木马是SINFFER类木马后门的一种,此类木马主要是利用ARP欺骗劫持IP地址并监听局域网中的密码信息,常被应用于网吧等娱乐场所盗窃网络游戏账号,由于木马采用非常流行的蠕虫繁衍技术并采用ARP传播,影响范围非常广。
木马分析:此木马会利用多媒体文件或者网页作为载体对电脑进行侵入性感染,本木马结合蠕虫病毒进行内网传播,当打开多媒体文件或网页木马时摩登王木马将自动植入用户计算机。木马随即生成多个特殊文件,如sprot.dll、xsinddr.dll rutct.bat rctyy.rcl等。当木马运行完成后自动启用xsinffer.exe程序进行嗅探并将数据利用8081端口发送到黑客的服务器中,完成机密信息窃取。
木马主体:采用Visual C++ 6.0编写,并经过加壳保护处理,自我复制到被感染系统的“%SystemRoot%\system32\”目录下,并重新命名为“tcpip.exe”。自我注册为系统服务,实现“摩登王”变种开机自动运行。在被感染计算机系统的后台搜索某些与安全相关的进程,一旦发现便将其强行关闭,达到自我保护的目的。将恶意可执行代码分别注入到系统IE浏览器进程“IEXPLORE.EXE”和系统桌面程序进程“explorer.exe”中,然后调用执行恶意操作。木马会自动探测局域网中存在的计算机并进行ARP攻击调用一个xsinffer.exe的嗅探工具对局域网内用户计算机的机密信息进行盗窃。
解决方案:
1.在安全模式下搜索tcpip.exe文件进行删除。
2.木马在运行后会释放多个特殊文件,如sprot.dll、xsinddr.dll、rutct.bat、rctyy.rcl,这些文件会利用DLL注入技术插入到IEXPLORE.EXE和explorer.exe中,可以利用IceSword检查是否存在注入。发现后进行删除。
3.利用防火墙封闭8081端口,木马利用此端口发送嗅探获取的数据。
小知识:ARP欺骗在木马中的作用
ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成电脑无法收到信息,而木马就可以采用xsinffer软件将数据截取。
1.顽固病毒可“强杀”
大家在电脑上删除文件的时候,往往会遇到以下提示:“删除文件或文件夹时出错”,这是因为这些文件、文件夹被正系统调用或某些程序使用。如Word文档在打开的状态下,就是拒绝被删除的,重要的系统文件也是不能删除的,这是系统为了避免文件紊乱而采取的保护性措施。
有些病毒就利用了这个机制,他们会冒充系统文件或把病毒文件设置成为正在使用状态,使得系统的文件保护与杀毒软件产生“误会”,造成病毒清除失败。这时杀毒软件会报告“病毒清除失败”或者“重启计算机后删除”,而这些病毒在重启后也往往不能清除。
图1
传统杀毒软件解决这个病毒的方法,是进入安全模式杀毒或者使用光盘引导杀毒,操作过程比较复杂。瑞星杀毒软件2008版中加入了“强杀文件”功能,只要将“使用强杀文件”功能开启后,可以强制删除这些文件:先打开瑞星杀毒软件,点击“设置→监控设置”,在弹出窗口左侧选择“文件监控”,然后在右侧勾选“高级设置”标签下的“使用强杀文件”即可(见图1)。
2.网页打开慢?有办法!
上网慢是大家经常遇到的情况,如果别的操作都很快,迅雷下载没问题、QQ聊天也没事,那就可能是以下两种情况:
第一种,如果在局域网环境下,可以看下打开网页时左下角的地址显示的网址,是不是自己要打开网页的地址,如果不是的话,就可能是中了ARP病毒。在局域网中只要有一台电脑感染了ARP病毒,它就可能向网内所有电脑发起ARP攻击,网内用户访问的正常网页会被替换成带毒网页等(见图2)。
图2
这种情况下应该全网升级杀毒软件,断网杀毒,然后把电脑的临时文件清空。同时,还应该进行一些服务器端和客户端的反ARP设置,预防此类情况的再次发生。
第二种,如果是单机上网,或者打开网页时左下角的地址就是自己要打开的网页,可以尝试把防火墙的网址过滤关闭,再看是否还有问题。将网址过滤关闭后,上网正常,可能是瑞星防火墙的rfwproxy.exe进程被阻止了,可以把rfwproxy.exe添加到杀毒软件的白名单里即可。