WOW帐号安全专题(五) 查杀和清除木马

特洛伊木马（简称木马）是一种C/S结构的网络应用程序。其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信息。例如，窃取用户口令、复制或删除文件、控制目标主机的运行状态等。

1 将它的程序代码作为单独的程序出现，这个程序可以在设定的时间自动运行。

2 将它的程序代码集中隐藏在合法程序中，随合法程序运行而独立工作。

3更改合法程序，将其代码分布到合法程序中，随合法程序运行而独立工作。

系统中出现木马程序的原因主要有两种：一种是合法用户故意获得木马程序并将其安装在系统上；另一种是在网上下载的或由他人提供的软件中包含木马程序，在安装软件时，无意识地将木马程序安装到了系统上。另外，攻击者在入侵某个系统后，也会将木马程序复制到系统上，为自己留个后门，以便对系统进行远程操纵和控制。

安装木马程序的主要目的是用于远程管理和控制主机系统。但也经常被攻击者用做对系统进行攻击的一种手段。根据木马程序的启动特点，在Windows系统中，可以通过检查Windows系统启动时自动加载程序的几种方法来检查并清除木马程序。

检查和清除Windows系统中的木马程序的一般方法如下：
1在“开始→程序→启动”菜单组中，如果发现有异常程序，则可直接清除。

2在autoexec.bat文件中，如果发现有类似“win 程序名”的命令行，则在命令中的程序很可能就是木马程序。
3在win.ini文件中，检查[windows]段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除。

4在system.ini文件中，检查[boot]段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe 程序名”，则其中的程序名很可能是木马程序。

5在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器。然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_CLASSES_ROOT\exefile\shell\open\command
一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOT\exefile\shell\open\ command表项中包含的正确值为“"%1"%*”，如果被改为“程序名"%1"*”，则可能是木马程序名。 如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动加到相应的启动位置。

6驱动级木马.随着杀毒软件和木马的较量逐渐升级,木马也开始进驻系统内核,以至于出现了无进程,不修改注册表,无系统启动项的三五木马的诞生。这样的木马技术被称为rootkit技术，属于现在高端木马编程的主流技术。他的实现原理是通过windows加载驱动的方式进行运行的。一般此类木马都是通过hook SSDT 通过注入到其他正常服务来达到自身运行的目的。清除此类木马也是比较费事的，这需要借助一款能分析内核的模块的工具，icesword(冰刃)，这是一款能够分析内核模块的软件，如果有哪个模块被木马HOOK了，这个模块就会显示为红色。一般没有被HOOK的模块是黑色的。关于分析SSDT以后只能写一个专门的文章来介绍了。这里有兴趣的朋友请关注我的BLOG。

木马运行的硬件特征：

1、其实木马也属于计算机程序，也属于2进制文件，如果通过网络感染计算机的话。那么木马也和文件操作是一样的。也就是说，木马也必须参与硬盘的读写操作。这时候硬盘最明显的特征就是会有COPY的动作，外部特征就是硬盘灯会出现持续的闪动。假设你正处于上网的过程中，只浏览网页而没有做下载和玩游戏等其他动作，这时候硬盘指示灯突然闪个不停，那很有可能就是木马下载者把各种木马下载到你的计算机中。（此方法不适合旧配置的机器，内存太小，很多东西都是要通过虚拟内存运行的，硬盘灯基本时刻都在闪动）。

2现在绝大部分木马都是通过IE进行传播的。一般来说，网马都是通过系统漏洞来传播和执行的。而这里的系统漏洞通常是指堆栈缓冲区溢出漏洞，基本上所有的堆栈缓冲区溢出漏洞执行起来都是要消耗一定时间的。一般感染网马的页面通常打开起来都非常的缓慢，因为他在执行恶意代码，比如在网络正常的情况下，访问一个平时不会卡，但是现在访问起来就很卡的网页的话，这个网页就有可能被挂马了。出现这样的情况，就要对系统做次小诊断了。

3运行程序无反应。很多人在下载各种应用软件的时候，常常会发现下载的软件双击无反应。最后把这样软件删除掉，这里要说下，这个软件很有可能是伪装过的木马。你双击的话，恰好执行了木马。所以，对于各种从网上下下来的软件，最好还是能放在虚拟机上先运行下吧，以免中招。虚拟机是什么？不要急，下篇就会推出。木马的高级防范 使用虚拟机来进行网上冲浪。