今天路过好友小马的上班场所,于是就去看看这半年都没见的好友。来到小马的办公室,同事说他出去办事去了。于是我便坐到他的办公桌前,看着桌面上QQ正开着,于是便上去和我们的“狐朋狗友”打招呼。当我们正聊得热闹之时,突然在桌面弹出一个提示窗口,提示框的标题注明“七剑键盘记录器”。看到“键盘记录器”几个字,我的额头开始直冒冷汗,心想小马的电脑系统一定是被植入了键盘记录器,而他却浑然不知。现在我就帮他将系统中的木马清除出去。
查找线索
我首先从网上下载木马辅助查找器(下载地址:http://www.ttud.com/soft/2394.htm),它是我最常用的一款系统安全检测工具,通过它来检测系统中可疑的进程、端口、系统服务、启动项等等。首先运行木马辅助查找器,点击窗口中的“启动项管理”标签,其中包含了注册表启动项、文件关联管理、后台服务管理和AUTOEXEC.BAT四项内容。WwW.ItCoMputeR.com.Cn
我很快就从“注册表启动项”中发现了问题,在最常见的启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中查找到一个键值为“qijian.exe”的可疑启动项,因为这个键值的拼音正好是“七剑”(如图1)。通过这个启动项,“七剑”就可以随着系统而自动启动。
如何清除红蜘蛛键盘记录器
今天刚刚上班不久,病毒诊所的王斌医生就接待了“病人”家属小张。看着他满头大汗的样子,听着他急切的叙述,王斌医生了解到小张的淘宝网的密码被盗。与此同时,其他的一些账户密码也同时被盗。一听密码被盗,王斌医生的头脑马上浮现出“木马”二字。那么是什么木马这么厉害呢?从小张口中得知,该木马在进入系统不久,就会出现资源管理器进程要求连接网络的提示。www.sq120.com推荐文章
该木马运行后不但占用了大量系统资源,而且使系统运行十分地不稳定。木马会将自己的进程插入到资源管理器的进程中,然后根据黑客设置的窗口标题关键字,去获取指定窗口的键盘输入,从而获得相关的密码信息。通过小张述说的木马特征,王医生果断地下了结论:小张的计算机系统被人种植了“红蜘蛛”木马。
红蜘蛛木马档案
“红蜘蛛键盘记录器”这款木马可以获取多种程序中的信息内容,比如即时通讯软件、游戏、电子邮件等等。该木马在感染系统后,会在系统的System32目录中生成RedSpider.dll和RedSpider.exe这两个文件。其中文件RedSpider.exe是木马程序的主文件,通过它来调用文件RedSpider.dll来执行,最终通过文件RedSpider.dll来获取用户的键盘输入信息。
掌握“蜘蛛”行踪
首先打开系统的任务管理器,通过认真的检测查看后,并没有发现其中有什么可疑的进程,王医生分析该木马可能是使用了Rootkit技术对木马进程进行了隐藏。于是运行IceSword这款可以检测到隐藏进程的工具,点击左侧工具栏中的“进程”按钮,结果和在任务管理器查看的结果一样,也没有发现任何隐藏的进程。
既然没有发现隐藏的进程,那么还有一种可能就是该木马使用了线程插入技术。使用线程插入技术的木马程序都有一个特点,就是喜欢将其线程插入到IE浏览器或资源管理器的进程中,这主要是由于这两个进程是Windows系统中最常见的进程。根据小张先前的提示,看来该木马最有可能将线程插入到资源管理器的进程中(图2)。
发现藏身之所
王医生通过鼠标选择资源管理器的进程Explorer.exe,接着在这个进程上单击鼠标右键,并选择菜单中的“模块信息”命令。然后在弹出的“进程模块信息”窗口认真查找,果然在其中发现了一个名为“RedSpider.dll”的可疑DLL文件。
王医生接着使用System Repair Engineer(SREng)来检查该木马出现的启动项。如果 SREng发现一个可疑的项目,那么它会以颜色高亮显示从而提醒用户。点击SREng窗口中的“启动项目”按钮后,在启动列表发现了一个名为“RedSpider”的启动项。该启动项的名称和可疑DLL文件一模一样,所以它就是木马程序的启动项。
断其头斩其身
既然已经成功的发现木马文件的启动项,现在就可以开始清除木马了。王医生首先在SREng的“启动项目”选项中找到该木马的启动项“RedSpider”,接着点击操作窗口中的“删除”按钮将该启动项删除掉。
但是该木马的进程删除起来却有些麻烦,因为要删除该木马的进程,首先要结束资源管理器的进程,而资源管理器进程又是系统必须运行的进程之一,操作起来有些棘手。
好在IceSword可以帮用户很好的解决。首先在IceSword的进程中选择资源管理器的进程,接着打开其“进程模块信息”窗口,在窗口中找到“RedSpider.dll”后点击“强制解除”按钮即可卸载该DLL文件。最后打开系统的system32目录,找到RedSpider.dll和RedSpider.exe这两个文件进行删除。
随后重新启动系统再对系统的进程、启动项、系统目录进行检查,没有发现可疑文件的踪迹,确定已经将该木马程序成功的清除了。
防范第一
“红蜘蛛”木马主要还是通过网页木马、文件捆绑等方式进行传播。因此,我们须安装杀毒软件来进行木马程序的实时防护,尤其是脚本监控功能可以及时的发现网页中链接的网页木马。
最后,提醒大家注意,资源管理器的进程是一个本地进程,如果有一天防火墙提示你该进程需要访问网络,那么这个进程一定是被恶意程序所利用了。
如何关闭键盘上不用的按键 问:我的电脑键盘4个方向键上方有3个圆键,它们分别起“关机”、“休眠”、“重启”的作用,虽说这是一个独特的设计,可我为此伤透脑筋:一不小心就误按了其中某个键,特别是玩游戏用方向键时。有什么办法把键盘的此功能关掉?
答:首先你检查一下系统键盘属性中是否有相关的设置,对于某些带有快捷键的“多媒体”键盘,需要运行特定程序后才能发挥快捷键的作用,可以将这类程序删除。或者干脆来“硬”的:打开键盘,设法将这三个按键下面与键帽接触的部分,垫上一层塑料薄膜,让它们的功能失效。
From:http://www.itcomputer.com.cn/Article/Network/201309/519.html