一、木馬克星遇克星
原來哥們在瀏覽XX網頁時碰到一個網站彈出窗口,顯示“在你的電腦里檢測到16處錯誤,如果想修復請點繼續”。于是他就點了繼續,一步一步被引導著下載安裝了一個叫做Errorguard的軟件……
居然中了這么低等級的招數,這哥們的智商被我嚴重鄙視!無奈,拿出了常用的木馬查殺軟件“木馬克星”,開始對他的系統掃描查殺。誰知木馬克星是查出了5個木馬,可是只能查不能殺,看來木馬克星今天也遇到克星了(如圖1)。
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-734wqk.jpg" "\"斬于馬下")
圖1
二、“免費”的Ewido
哥們的電腦上安裝了諾頓和AVG,用來查殺一下,居然也不能清除木馬!無計可施的情況下,上網搜索下載了一個號稱全球第一的木馬查殺軟件Ewido Security Suite Plus V4.0綠色免安裝版。
小提示最新的Ewido Security Suite Plus V4.0是英文界面的,網上有V3.5版的漢化版本,不過V4.0版的功能更為強大得多,因此這里使用最新版。
下載后直接解壓,然后執行文件夾中的“ewido.exe”文件運行程序,在界面中立刻顯示出紅色的提示,要求立即更新病毒庫。點擊紅色的“Update now”鏈接(如圖2),開始升級。
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-580cOM.jpg" "\"斬于馬下")
圖2
三、注冊激活實時監控
升級有點慢,先熟悉一下軟件界面吧!在界面頂部是一排功能按鈕,點擊“Status”可以切換回剛才主界面。在主界面下方有一個“Enter license code”按鈕,是用來注冊的。未注冊版本是不能開啟實時監控功能的,為了保證哥們的電腦在查殺過程中不再出現什么意外,點擊了“Resident shield”后面的“Change state”按鈕,將當前狀態改為“active”監控激活狀態。
四、升級分兩步
點擊界面上方的激活按鈕切換回“Update”頁面,發現病毒庫下載完畢了,但是要完成升級的話還需要手工安裝病毒庫。此時顯示“Ready for update”,點擊界面中的“Start update”按鈕,即可開始進行升級(如圖3)。在下方的“Automatic Update”(自動升級)項中,勾選“Download and install updates automatically……”(下載并自動進行病毒庫安裝升級);在“updates interval”(升級間隔時間)中可設置每隔多少時間進行自動升級。設置完畢后,以后就會自動在后臺進行病毒庫更新與安裝了。
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-6211mw.jpg" "\"斬于馬下")
圖3
小提示升級完成后,還要再進行一次注冊,否則剛才注冊會失效。
五、強勁查毒,揪出黑手
現在病毒庫是最新的了,開始啟動Ewido查殺系統中的木馬。
1.全面掃描
點擊“Scanner”按鈕,切換到掃描頁面。在這里提供了多種掃描方式,包括“Complete System Scan”(全面系統掃描)、“Fast System Scan”(快速系統掃描)、“Registry Scan”(注冊表掃描)、“Memory Scan”(內存掃描)和“Custom Scan”(定制掃描)等(如圖4)。因為系統中現在已經中了木馬,所以必須進行一次徹底清除工作,點擊“Complete System Scan”按鈕,展開掃描選項卡開始進行病毒掃描。
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-360vvg.jpg" "\"斬于馬下")
圖4
2.掃描設置
由于是全面掃描,因此需要的時間會很長,在掃描的同時切換到“Settings”(掃描設置)選項卡,查看掃描設置(如圖5)。在“How to act?”(如何處理病毒文件)中,可以設置檢測到木馬后默認的處理動作。點擊“Recommend actions”(默認操作),在彈出菜單中選擇“Quarantine”(隔離)命令,將在檢測到木馬后自動對其進行隔離操作。
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-3717TE.jpg" "\"斬于馬下")
圖5
仔細看了一下“How to Scan”中的設置項,驚喜的發現了Ewido功能的強大之處,不僅可以掃描捆綁文件、未知病毒、加殼的木馬等,還可以檢測出NTFS數據流木馬!這些功能一會兒測試吧!在“Possibly unwanted software”(不需要的附加軟件)項中,使用默認的設置選項,可以全面的查殺流氓廣告、有危險的Cookies信息和一些可疑的撥號連接。在“What to Scan”中,可設置掃描的文件類型。為了保險起見,直接就選擇了“Scan every file”(掃描所有文件);如果想加快掃描速度,只掃描某幾個文件類型的話,可勾選“Choose files by extension”(通過后綴名指定要掃描的文件),并添加文件類型。
小提示:在這里筆者又發現了一個小驚喜,文件類型中有asp/cgi/php,也就是說可以掃描網頁木馬文件!
3.木馬大清除
返回掃描界面,發現竟然掃描出了20多個木馬,這其中當然有剛才木馬克星無能為力的,也有木馬克星檢測不出來的木馬!毫不猶豫的在“Action”中將處理操作改成“Delete”(如圖6),直接將木馬刪除掉,然后點擊“apply all acions”(執行所有操作)按鈕,很快檢測出來的木馬都被刪除掉了。不過又彈出一個提示窗口,顯示其中一個木馬文件無法刪除,這下我有些納悶了,難道這些木馬采用了特殊保護技術,DLL注入?還是進程守護?
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-7978Q2.jpg" "\"斬于馬下")
圖6
4.揪出木馬進程
怎么辦呢?仔細查看了一下軟件界面,看到上面有一個功能按鈕“Analysis”(分析),點擊后切換到木馬分析頁面,看到這里有許多木馬分析小工具。先看看端口吧,選擇“Connections”選項卡,在這里查看到所有網絡連接開放端口。
小提示:在“Analysis”頁面中,“Processes”項可以查看和結束木馬進程;“Autostart”可管理系統自啟動項目;“Browser Plugins”項可管理刪除加載到IE瀏覽器中的流氓插件。
連接太多了,于是關閉了QQ、IE所有網絡連接,終于發現了可疑的連接——“explorer.exe”本來是資源管理器的進程,竟然對外連接了一個遠程主機地址(如圖7)!
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-112lJw.jpg" "\"斬于馬下")
圖7
小提示要快速的找到木馬連接,可勾選下方的“Hide local connections”(隱藏本地連接),只顯示對外的遠程連接。
確定木馬是采用DLL注入的方式,通過資源管理器進行啟動和保護的了。于是選擇該進程,先點擊“Terminate connections”(關閉連接),斷開與遠程主機的連接,再點擊“Terminate Applications”(終止進程),將木馬插入的進程結束掉。再返回剛才的木馬掃描頁,就可以成功刪除剛才無法操作的木馬文件了!
另外,值得一提的是筆者還用Ewido掃描出了自己網站服務器上其他人上傳的ASP木馬后門(如圖8)。大家有興趣的話,還可以看看“Tools”功能頁中,也能發現更多的驚喜哦!
!["斬于馬下]("http://www.anqn.com/pic/31/a2006-7-26-784vwU.jpg" "\"斬于馬下")
圖8
