时间:2022-07-09 07:50:42
如今,电脑用户面临的最大威胁,除了“熊猫烧香”这样的恶意病毒之外,就要属各种各样的木马后门程序了。虽然杀毒软件也能检测到某些木马的存在,但是由于木马本身自我防护能力的增强,因此常常出现能检测但不能有效查杀的情况。
最近,笔者在无意间发现PCD刊登了一篇利用软件漏洞捉肉鸡的文章(编者注:即本刊2007年第20期中《(暴风影音Ⅱ)助我传播木马》一文),文章中使用了最新的PcShare木马。由于平时笔者对各种木马病毒小有研究,因而赶紧下载了它进行测试。经过测试,笔者发现新版PcShare木马的数据传输依然是利用HTTP隧道技术,但其服务端更小巧了,在受害电脑中的隐蔽性也大大增强了。它能将自身插入到系统进程svchost.exe中,用户很难发觉。再加上它采用了特有的隐藏驱动,因此清除也非常困难(大名鼎鼎的3721就是用的隐藏驱动,其清除的麻烦性可想而知)。
如何发现PcShare木马
首先,运行《冰刃》这款安全工具(即IceSword,由于它使用了大量新颖的内核技术,因而可以使电脑中隐藏的PcShare木马无处可躲)。然后,关闭系统中所有的网络软件,以免网络数据干扰相关的检测工作。最后,点击《冰刃》功能区中的“端口”按钮,发现其中只有一条正在连接的数据项,其进程正是svchost.exe,连接的端口也正好是HTTP隧道技术所用的80端口(注:黑客也可能自定义其他端口)。因此可以断定,有PcShare木马插入了svchost.exe进程,笔者记下其PID值1784(如图1)。
下面,点击功能区中的“进程”按钮,找到PID为1784的进程,再点击鼠标右键中的“模块信息”项,在弹出窗口中查找PcShare木马插入的模块信息。笔者在这里果然发现了一个名为zrpimlek.dll的木马模块(如图2),同时在“内核模块”中也发现了zrpimlek.sys内核模块,在“服务”中发现了zrpimlek木马启动服务(注:“zrpimlek”字样可随机变化,但这三者始终同名)。哈!这TPcShare木马就被彻底挖出来了。
我们还是用《冰刃》来进行清除工作。
首先,打开其菜单“文件”一“设置”,将“禁止进线程创建”和“禁止协件功能”项选中。这样可以防止PcShare木马的自我保护功能让它再生。
然后,在《冰刃》功能区的“进程”中,用鼠标右键结束PcShare木马所利用的svchost.exe进程。进入系统System32文件夹,将隐藏的zrpimlek.dll文件及其drivers子文件夹中的zrpimlek.sys文件删除。
最后,通过《冰刃》的注册表编辑功能来结束木马的启动服务。笔者在注册表中分别找到如下键值并将它们删除。重启电脑后,隐藏的PcShare木马就被完全清除了。
从最近不断曝光的病毒事件及新闻中我们不难发现,杀毒软件不是万能的,因此掌握一些简单的手工清除技巧,对自己的电脑有好处。