流萤木马是一款全新的国产反弹型木马程序,它的特点就是服务端小巧,仅有36KB的大小。它的服务端程序之所以小巧,完全是因为它的服务端程序仅仅是一个“下载者”程序。当这个“下载者”程序安装到系统以后,才会将真正的服务端程序安装到系统之中,这也就是中招后系统出现假死的主要原因。另外该木马可以调用包括IE浏览器在内的众多系统进程,并且服务端程序运行十分稳定,客户端程序可以同时对几个服务端进行操作。www.sq120.com推荐文章
隐私大白天下
今天,万大夫接待了这样一位病人。来者自称姓马,他称早上一个好友打来电话,声称在一个论坛发现了自己和我女朋友的照片,这些照片并不是自己上传上去的。听病人讲到这里,万大夫心里对情况已经有了大致的了解。
接着万大夫一边听着病人的描述,一边进行着详细的记录。病人告诉万大夫说:元旦前一天上午有一段时间,系统好像假死一样不能操作,不过硬盘却一直在狂转,好像在下载什么东西。
接着出现一个IE浏览器的连接网络的提示框,重新启动后不久又出现其他系统进程的连接窗口。自己怕麻烦就同意通过了,结果自己的照片就被偷了。通过病人的叙述,万大夫基本上可以肯定这款木马就是现在网络中活动异常猖獗的“流萤”木马。
流萤的隐身术
当万大夫确诊病情以后,就开始准备进行治疗了。首先万大夫从系统的启动项着手,准备从中找到木马程序的启动项。WWw.ItcomPuter.COm.CN万大夫首先选择查看系统启动项的佼佼者AutoRuns,点击AutoRuns的“用户”选项选择用户,接着就会在主界面中将启动项和进程全部显示出来。点击操作界面的“全部”标签,这样系统的所有启动项就一目了然了。
经过认真检查,万大夫很快就在系统服务启动项中发现一个可疑的启动项。它之所以引起大夫的注意,并不是它的启动名称,而是因为它在列表中的“说明”和“发行商”两项都没有任何的标注(图1),而正规的软件程序在这两项中都会有标注。可是该文件也没有进行伪装,这不像是黑客惯用的伎俩啊?
接着万大夫再来看看系统中有没有可疑的进程,他使用的是Process Explorer。该软件可以让用户了解看不到的那些在后台执行的程序进程,通过它能显示目前已经载入的程序模块、程序所调用的 DLL进程等。Process Explorer最大的特色就是可以结束任何进程,甚至包括系统的关键进程都可以结束。
首先我们应该了解,进程分为两种。一种是系统进程,即System进程树下的所有进程;一种是普通进程,即在Explorer进程树下的所有进程。对于那些拥有独立进程的木马程序,使用Process Explorer很容易就能发现的。经过认真查看,在System进程树下发现了一个名为FireFly.exe的可疑进程(图2),正好这个可疑进程和那个可疑的启动项是联系到一起的。 现在大夫来进行木马程序的清除工作。首先在Process Explorer的System进程树下,找到FireFly.exe这个可疑进程,然后点击右键菜单中的“终止进程”按钮将该进程结束。再切换到AutoRuns窗口,在系统服务中找到该木马的启动项Remote Control,同样点击鼠标右键中的“删除”命令即可删除该启动项。
由于AutoRuns的删除是直接对注册表进行操作的,没有办法自动恢复,所以用户不要看到什么使人生疑的东西就删除。如果仅仅是怀疑的话,用的时候把启动项前面的钩去掉就可以了。最后来到磁盘的C:\Program Files\firefly-remote文件夹下,将整个文件夹删除即可(图3)。
由于流萤是一款木马程序,所以它主要是通过网页木马、文件捆绑等主要方式进行传播的。但是人们往往忽略这些环节而“大意失荆州”,以至于在个人信息受到威胁时后悔莫及。从整个木马清除过程来看,最简单的可疑程序检测方法就是参看这些文件的“说明”和“发行商”有没有具体的内容。如果发现某些文件没有这些内容的介绍,那么首先就需要对它们进行重点检查。
除此之外我们知道,现在很多具有远程控制功能的软件,自身都带有一个“/u”的卸载参数,运行后服务端就可以完全卸载(图4)。以后遇到可疑文件就可以用这个参数来试着卸载,流萤的服务端也可以采用这种方式进行卸载。
From:http://www.itcomputer.com.cn/Article/Network/201309/479.html