如何刪除電腦中隱藏的木馬

  木馬在互聯網上肆虐,我們一不小心就會成為黑客手中的肉雞。到時自己的電腦成為被黑客控制的傀儡,而且自己的個人隱私也完全暴露。拒絕黑客控制,我的電腦我做主。在五一節後這一黑客大肆捕獲肉雞的時段開始了,我們針對木馬特點,用4招自檢避免成為黑客肉雞。

小知識:肉雞實際上就是中了黑客的木馬,或者被安裝了後門程序的電腦。黑客可以像計算機管理員一樣對肉雞進行所有操作。現在許多人把有WEBSHELL權限的遠程主機也叫做肉雞。

第一招:系統進程辨真偽

當前流行的木馬,為了更好地對自身加以隱藏,使用了很多方法進行自身隱蔽,其中最常見的就是進程隱藏。這種方法不僅讓人很難通過常見的檢查手法查找到,如果用戶操作不當的話還可能將系統進程刪除,造成系統不穩定甚至崩潰。常見的這類木馬程序包括灰鴿子、守望者、上興木馬等。

自檢方法

黑客為了對木馬進行更好的偽裝,常常將木馬名稱設置得和系統進程名稱十分相似。通常系統進程都是有System用戶加載的,如果我們發現某個「系統進程」是由當前用戶加載的,那麼這個「系統進程」一定有問題。

另外我們也可以從系統進程的路徑來進行分辨,比如正常的系統進程svchost.exe應該在「c:\Windows\system32」目錄下,如果用戶發現它的路徑在其他目錄下就表明該進程有問題。

除此以外,現在的木馬很注意對自身服務端程序的保護,我們通過「任務管理器」很可能查看不到木馬的服務端進程,因為木馬程序通過線程插入等技術對服務端程序進行了隱藏。

在這裡樹樹建議大家使用IceSword(下載地址:http://download.cpcw.com)對進程進行管理。它除了可以查看各種隱藏的木馬後門進程,還可以非常方便地終止採用多線程保護技術的木馬進程。

進入IceSword點擊「文件→設置」命令,去掉對話框中的「不顯示狀態為Deleting的進程」選項。點擊程序主界面工具欄中的「進程」按鈕,在右邊進程列表中就可以查看到當前系統中所有的進程,隱藏的進程會以紅色醒目地標記出。

另外,如果發現多個IE進程、Explore進程或者Lsass進程,那麼我們就要留意了。因為很多木馬都會偽裝成這幾個進程訪問網路。

應對方法

在IceSword的進程列表中選擇隱藏的木馬程序,點擊滑鼠右鍵中的「強行結束」命令即可結束這個進程。然後點擊IceSword的「文件」按鈕,通過程序模擬的資源管理器命令,找到並刪除木馬程序的文件即可。]

第二招:啟動項中細分析

一些木馬程序通過系統的相關啟動項目,使得相關木馬文件也可以隨機啟動,這類木馬程序包括TinyRAT、Evilotus、守望者等。

檢方法

運行安全工具SysCheck(下載地址:http://download.cpcw.com),點擊「服務管理」按鈕後即可顯示出當前系統中的服務信息,如果被標註為紅色的就是增加的非系統服務。通過「僅顯示非微軟」選項就可以屏蔽系統自帶的服務,這樣惡意程序添加的服務項就可以立刻現形。

點擊「修改時間」或「創建時間」選項,就可以讓用戶馬上查看到新建的系統服務。從圖中我們可以看到一個被標註為紅色、名稱為Windows Media Player的系統服務,該服務所指向的是一個不明程序路徑。因此可以確定該服務就是木馬程序的啟動服務。

通過安全工具SysCheck的「活動文件」項目,可以顯示出包括啟動項等信息在內的、容易被惡意程序改寫的系統註冊表鍵值。比如現在某些惡意程序,通過修改系統的「load」項進行啟動,或者修改系統的BITS服務進行啟動。由於SysCheck程序只是關注改寫了的鍵值,所以在不同的系統上顯示的內容並不一樣。

應對方法

進入SysCheck點擊滑鼠右鍵中的「中止服務」選項,中止該木馬程序的啟動服務,接著點擊「刪除服務」命令刪除指定的服務鍵值。然後點擊「文件瀏覽」按鈕,由於SysCheck採用了反HOOK手段,所以內置的資源管理器可以看到隱藏的文件或文件夾,這樣就方便了我們進行隱藏文件的刪除工作。按照木馬服務所指的文件路徑,找到文件後點擊滑鼠右鍵中的「刪除」按鈕即可。

第三招:系統鉤子有善惡

木馬程序之所以能成功地獲取用戶帳號信息,就是通過鉤子函數對鍵盤以及滑鼠的所有操作進行監控,在辨別程序類型後盜取相應的帳號信息。也就是說,只要擁有鍵盤記錄功能的木馬程序,就肯定會有系統鉤子存在。

自檢方法

通過遊戲木馬檢測大師(下載地址:http://download.cpcw.com)的「鉤子列表」功能,可以顯示系統已經安裝的各種鉤子,這樣可以顯示出當前網路中流行的主流木馬。

點擊「鉤子列表」標籤進行鉤子信息的查看,並且不時點擊滑鼠右鍵中的「刷新」命令對系統鉤子進行刷新。因為木馬程序只有在鍵盤記錄的時候才會啟用鉤子,如果大家中了木馬,那麼很快就會在列表中有所發現了。在本例中一個名為WH_JOURNALRECORD可疑的鉤子被程序以顯著顏色標記出來。

這個鉤子是用來監視和記錄輸入事件的,黑客可以使用這個鉤子記錄連續的滑鼠和鍵盤事件。在此時,我們就應該引起重視,不要再使用QQ等需要輸入密碼的程序。

應對方法

清除方法比較簡單,只要記錄下動用系統鉤子的進程PID,通過PID值找到該木馬程序的進程後結束該進程,再輸入「Regedit」打開註冊表編輯器,並點擊「編輯」菜單中的「查找」命令,在此窗口搜尋該木馬程序進程的相關消息,將找到的所有信息全部刪除。

重新啟動計算機,只要在安全模式下刪除系統目錄中的木馬文件信息即可。當然也可以通過前面幾種方式進行相互檢測,這樣可以更加有效地清除系統中的木馬程序。

第四招:數據包裡藏乾坤

現在,越來越多的木馬程序利用了Rootkit技術。Rootkit是一種集合了系統間諜程序、病毒以及木馬等特性的一種惡意程序,它利用操作系統的模塊化技術,作為系統內核的一部分進行運行,有些Rootkits可以通過替換DLL文件或更改系統來攻擊Windows平台。

自檢方法

同樣我們還是使用遊戲木馬檢測大師這款程序,利用它的「發信檢測」功能來判斷自己的系統中是否被安裝了木馬程序。在使用該功能以前,首先需要判斷系統的網卡是否工作正常。

我們關閉其他一切會擾亂網路數據捕捉的程序,然後去除「只捕獲smtp發信端口(25)和Web發信端口(80)」選項,點擊「開始」按鈕就可以進行數據包的捕捉。如果這時捕捉到有數據包發出,就證明自己的系統中存在木馬程序。

根據木馬程序連接方式的不同,捕捉到的數據信息也不盡相同,但是捕捉到客戶端程序的IP地址還是沒有問題的。用過嗅探器的朋友都知道,我們可以通過設置過濾病毒特徵數據包來發現蠕蟲病毒,當然這種方法需要一定的相關知識,這裡就不再敘述了。

應對方法

對於這種利用Rootkit技術的木馬程序,可以直接通過一些Rootkit檢測工具進行查看。比如檢測工具Rootkit Detector(下載地址:http://download.cpcw.com),它通過程序內置的MD5數據庫,來比較所檢測到的Windows 2000/XP/2003 系統全部服務和進程的MD5校驗值,這樣就可以檢測出系統下的Rootkit程序。

在命令提示符窗口運行命令:rd.exe,程序會自動對當前系統進行檢測。程序首先會統計出系統中服務的數目、當前的進程,以及被隱藏的進程,並且將系統當前的進程用列表顯示出來,然後進入安全模式進行刪除即可。

我們可以根據需要,搭配使用些速殺流行木馬以及病毒的專殺工具,讓自己的電腦更加安全