如何徹底刪除木馬

目前，盜號(hào)現(xiàn)象愈演愈烈，用戶整天提心吊膽，怕哪天盜到自己的頭上。難道一味地防守就能夠保住我們的號(hào)嗎？不行，我們要防守反擊，給盜號(hào)者當(dāng)頭棒喝，運(yùn)用法律手段保護(hù)自己的權(quán)益。本期，來(lái)自四川的劉勇，將告訴我們，他是如何來(lái)防范盜號(hào)木馬并找出盜號(hào)者的信箱的。
    使用系統(tǒng)：Windows XP SP1
    一直以來(lái)我都非常注意個(gè)人電腦的安全防范，暗自慶幸自己的網(wǎng)游賬號(hào)沒(méi)有被黑客盜取?？墒呛镁安婚L(zhǎng)，前些時(shí)候我的賬戶就不幸被盜，當(dāng)我將賬戶找回后，發(fā)現(xiàn)自己的網(wǎng)游人物已經(jīng)被剝了個(gè)“精光”。
    更為可惡的是，在游戲賬戶丟失的同時(shí)，我的QQ密碼、信箱密碼也幾乎同時(shí)被盜。我心里明白，自己的系統(tǒng)一定是中了木馬程序，而且還不是一個(gè)普通的木馬程序，因?yàn)橐话愕哪抉R程序都只能盜取一種程序的密碼，看來(lái)這個(gè)木馬程序一定“不簡(jiǎn)單”??！
    尋找蛛絲馬跡逮住木馬“尾巴”
    首先打開(kāi)注冊(cè)表管理器，在其中的Run啟動(dòng)項(xiàng)中發(fā)現(xiàn)了可疑程序的啟動(dòng)項(xiàng)，鍵值名稱為“getpsw”，關(guān)聯(lián)的程序?yàn)椤癈：\WINNT\system32\qijian.exe”。
    我們知道，所有的惡意程序都會(huì)通過(guò)各種各樣的方式進(jìn)行程序的隨機(jī)啟動(dòng)，而通過(guò)注冊(cè)表的Run啟動(dòng)項(xiàng)是其中最常被病毒、木馬、盜號(hào)工具利用的。從這些可疑的名稱中我們就可以得知，這個(gè)程序是獲取密碼的意思。
    接著來(lái)到系統(tǒng)的system32目錄下，我們都知道system32目錄一般是用于存放系統(tǒng)重要文件的地方。黑客正是利用了我們這些普通用戶不熟悉系統(tǒng)目錄和系統(tǒng)文件，不敢輕易對(duì)系統(tǒng)目錄和文件進(jìn)行操作的情況，將惡意程序安裝到system32目錄中，進(jìn)而迷惑用戶使之以為這些都是系統(tǒng)的必要文件。
    其實(shí)我們只要通過(guò)對(duì)惡意文件的創(chuàng)建日期進(jìn)行查看和對(duì)比，就可以找出很多的可疑之處。我通過(guò)對(duì)“getpsw.exe”文件的屬性進(jìn)行查看后發(fā)現(xiàn)，“getpsw.exe”這個(gè)文件的創(chuàng)建日期為2006年，而我的Windows系統(tǒng)的大多數(shù)系統(tǒng)文件的創(chuàng)建日期在2001年，看來(lái)這個(gè)文件越來(lái)越可疑了。
    為了查找其他可能和“getpsw.exe”相關(guān)聯(lián)的文件，首先記錄下“getpsw.exe”文件的創(chuàng)建日期，點(diǎn)擊“開(kāi)始”菜單中“搜索”中的“文件或文件夾”命令，在彈出的搜索窗口點(diǎn)擊“所有文件或文件夾”選項(xiàng)，然后通過(guò)指定日期來(lái)進(jìn)行查找。果然很快又查找到兩個(gè)和getpsw.exe同樣日期的文件，名稱分別為psw.dll和psw.bpl.
    打開(kāi)任務(wù)管理器，經(jīng)過(guò)認(rèn)真的查看后，并沒(méi)有發(fā)現(xiàn)可疑的進(jìn)程，看來(lái)該木馬使用了線程插入技術(shù)。馬上又運(yùn)行木馬輔助查找器，點(diǎn)擊其中的“進(jìn)程監(jiān)控”標(biāo)簽，很快就在資源管理器的進(jìn)程Explorer.exe中發(fā)現(xiàn)了可疑的“psw.dll”。
    猛追狠打，斬草除根
    現(xiàn)在我打算開(kāi)始清除操作，首先到注冊(cè)表的Run啟動(dòng)項(xiàng)中刪除getpsw這個(gè)啟動(dòng)項(xiàng)，然后來(lái)到系統(tǒng)的system32目錄找到getpsw.exe、psw.dll、psw.bpl這三個(gè)文件進(jìn)行刪除，由于psw.dll正在被使用，所以暫時(shí)不能被刪除。
    馬上重新啟動(dòng)系統(tǒng)，再對(duì)psw.dll這個(gè)文件進(jìn)行刪除即可。接著再對(duì)系統(tǒng)的進(jìn)程、啟動(dòng)項(xiàng)、系統(tǒng)目錄進(jìn)行檢查，沒(méi)有發(fā)現(xiàn)可疑文件的蹤跡，確定已經(jīng)將惡意程序成功地清除了。
    雖然已經(jīng)成功地清除惡意程序，但還沒(méi)有完，我打算將這個(gè)盜號(hào)的黑手找出來(lái)。由于文件已經(jīng)清除，所以想通過(guò)嗅探抓包分析是不可能了，不過(guò)通過(guò)十六進(jìn)制工具對(duì)程序進(jìn)行分析也可以。
    運(yùn)行Ultra Edit載入getpsw.exe，由于一般的惡意程序都是將獲取的信息發(fā)送到指定的信箱或網(wǎng)址，所以搜索“。net”這個(gè)關(guān)鍵詞，很快就得到了盜號(hào)者的信箱，但是沒(méi)有獲得信箱的用戶名和密碼。同時(shí)也得到了另一個(gè)信箱“max@juntuan.net”，看樣子很熟悉，好像是黑客組織“第八軍團(tuán)”的信箱。馬上登錄他們的網(wǎng)站，果然在“軍團(tuán)作品”中發(fā)現(xiàn)了一個(gè)名為“軍團(tuán)偵察員”的盜號(hào)工具。
    劉勇朋友輕易地將這款名為“軍團(tuán)偵察員”的盜號(hào)木馬清除，可見(jiàn)他對(duì)如何清除類似木馬有相當(dāng)?shù)慕?jīng)驗(yàn)。
    同時(shí)，我們通過(guò)該木馬程序的特點(diǎn)，比如截取多種程序的密碼；通過(guò)采用DNS查詢MX郵件服務(wù)器技術(shù)，成功繞開(kāi)SMTP服務(wù)器認(rèn)證，實(shí)現(xiàn)密碼文件特快直達(dá)目標(biāo)郵箱；可以看到未來(lái)盜號(hào)工具的一些雛形。
    雖然該木馬程序使用了線程插入技術(shù)，但是仍然可以看出該程序在隱蔽性方面的脆弱。另外阿良提醒大家，在獲得盜號(hào)者的信箱后，我們可以通過(guò)法律手段來(lái)保護(hù)自己的權(quán)益，因?yàn)槟壳皣?guó)家已經(jīng)有明確的立法，將非法盜取別人虛擬財(cái)產(chǎn)作為偷盜罪的一種。