用江民杀毒KV2008查杀上兴木马

2008/12/10 来源:www.arpun.com 作者:小白

如果中了最新的“上兴”木马之后, 它会冒充iexplorer.exe和calc.exe进程(当然, 对于不同的木马配置, 这两个进程会有所改变), 并且使用Rootkit隐藏这两个进程, 在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。 打开KV2008中的“进程查看器”立即就可以看见这两项进程

用江民杀毒KV2008查杀上兴木马用江民杀毒KV2008查杀上兴木马

但是如果直接将其结束进程之后, 并不会得到想要的结果, 结束进程之后不一会儿它们的进程会再次启动。 由此可以知道, “上兴”木马是使用双进程保护技术的, 如果其中一个进程被结束了, 而另一个进程就会立即检测到并且马上开启这个进程。 经过分析确认“上兴”木马是使用系统服务将两个进程保护, 导致江民的“进程查看器”无法将其结束。

但是和上面的“魔波”同样是系统服务, 为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢?分析之后认为, “上兴”木马是使用的进程插入技术, 将自身插入到iexplorer.exe和calc.exe中, 而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的, 所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。 因此, iexplorer.exe和calc.exe就会不断的被启动, 并且相互保护对方的进程。

既然“上兴”使用的是系统服务来保护自身, 那么就可以找出“上兴”的服务, 从而对症下药。 单击“开始”菜单, 选择“运行”(快捷键是Win+R), 输入 “msconfig.exe”(不含外边中文引号), 打开“系统配置实用程序”, 之后切换到“服务”选项卡, 再将“隐藏所有的Microsoft服务”复选框选中, 就可以清楚的看到哪些服务不是系统服务了。

用江民杀毒KV2008查杀上兴木马用江民杀毒KV2008查杀上兴木马

很明显, "Windows_Rejoice2007_45"是一个非常可疑的服务, 之后再右击“我的电脑”选择“管理”, 进入“服务”, 再找到"Windows_Rejoice2007_45"服务, 将其“启动类型”设置为“已禁用”

用江民杀毒KV2008查杀上兴木马用江民杀毒KV2008查杀上兴木马

再打开KV2008, 打开“任务查看器”, 将iexplorer.exe和calc.exe结束, 最后进入Windows目录, 将上兴木马删除即可

网友评论
评论(...
全部评论