職稱(chēng)計(jì)算機(jī)輔導(dǎo):流螢?zāi)抉R是什么

字號(hào):

流螢?zāi)抉R是一款全新的國(guó)產(chǎn)反彈型木馬程序,它的特點(diǎn)就是服務(wù)端小巧,僅有36KB的大小。它的服務(wù)端程序之所以小巧,完全是因?yàn)樗姆?wù)端程序僅僅是一個(gè)“下載者”程序。當(dāng)這個(gè)“下載者”程序安裝到系統(tǒng)以后,才會(huì)將真正的服務(wù)端程序安裝到系統(tǒng)之中,這也就是中招后系統(tǒng)出現(xiàn)假死的主要原因。另外該木馬可以調(diào)用包括IE瀏覽器在內(nèi)的眾多系統(tǒng)進(jìn)程,并且服務(wù)端程序運(yùn)行十分穩(wěn)定,客戶(hù)端程序可以同時(shí)對(duì)幾個(gè)服務(wù)端進(jìn)行操作。
    隱私大白天下
    今天,萬(wàn)大夫接待了這樣一位病人。來(lái)者自稱(chēng)姓馬,他稱(chēng)早上一個(gè)好友打來(lái)電話,聲稱(chēng)在一個(gè)論壇發(fā)現(xiàn)了自己和我女朋友的照片,這些照片并不是自己上傳上去的。聽(tīng)病人講到這里,萬(wàn)大夫心里對(duì)情況已經(jīng)有了大致的了解。
    接著萬(wàn)大夫一邊聽(tīng)著病人的描述,一邊進(jìn)行著詳細(xì)的記錄。病人告訴萬(wàn)大夫說(shuō):元旦前一天上午有一段時(shí)間,系統(tǒng)好像假死一樣不能操作,不過(guò)硬盤(pán)卻一直在狂轉(zhuǎn),好像在下載什么東西。
    接著出現(xiàn)一個(gè)IE瀏覽器的連接網(wǎng)絡(luò)的提示框,重新啟動(dòng)后不久又出現(xiàn)其他系統(tǒng)進(jìn)程的連接窗口。自己怕麻煩就同意通過(guò)了,結(jié)果自己的照片就被偷了。通過(guò)病人的敘述,萬(wàn)大夫基本上可以肯定這款木馬就是現(xiàn)在網(wǎng)絡(luò)中活動(dòng)異常猖獗的“流螢”木馬。
    螢的隱身術(shù)
    當(dāng)萬(wàn)大夫確診病情以后,就開(kāi)始準(zhǔn)備進(jìn)行治療了。首先萬(wàn)大夫從系統(tǒng)的啟動(dòng)項(xiàng)著手,準(zhǔn)備從中找到木馬程序的啟動(dòng)項(xiàng)。萬(wàn)大夫首先選擇查看系統(tǒng)啟動(dòng)項(xiàng)的佼佼者AutoRuns,點(diǎn)擊AutoRuns的“用戶(hù)”選項(xiàng)選擇用戶(hù),接著就會(huì)在主界面中將啟動(dòng)項(xiàng)和進(jìn)程全部顯示出來(lái)。點(diǎn)擊操作界面的“全部”標(biāo)簽,這樣系統(tǒng)的所有啟動(dòng)項(xiàng)就一目了然了。
    經(jīng)過(guò)認(rèn)真檢查,萬(wàn)大夫很快就在系統(tǒng)服務(wù)啟動(dòng)項(xiàng)中發(fā)現(xiàn)一個(gè)可疑的啟動(dòng)項(xiàng)。它之所以引起大夫的注意,并不是它的啟動(dòng)名稱(chēng),而是因?yàn)樗诹斜碇械摹罢f(shuō)明”和“發(fā)行商”兩項(xiàng)都沒(méi)有任何的標(biāo)注,而正規(guī)的軟件程序在這兩項(xiàng)中都會(huì)有標(biāo)注??墒窃撐募矝](méi)有進(jìn)行偽裝,這不像是黑客慣用的伎倆啊?
    接著萬(wàn)大夫再來(lái)看看系統(tǒng)中有沒(méi)有可疑的進(jìn)程,他使用的是Process Explorer.該軟件可以讓用戶(hù)了解看不到的那些在后臺(tái)執(zhí)行的程序進(jìn)程,通過(guò)它能顯示目前已經(jīng)載入的程序模塊、程序所調(diào)用的 DLL進(jìn)程等。Process Explorer的特色就是可以結(jié)束任何進(jìn)程,甚至包括系統(tǒng)的關(guān)鍵進(jìn)程都可以結(jié)束。
    首先我們應(yīng)該了解,進(jìn)程分為兩種。一種是系統(tǒng)進(jìn)程,即System進(jìn)程樹(shù)下的所有進(jìn)程;一種是普通進(jìn)程,即在Explorer進(jìn)程樹(shù)下的所有進(jìn)程。對(duì)于那些擁有獨(dú)立進(jìn)程的木馬程序,使用Process Explorer很容易就能發(fā)現(xiàn)的。經(jīng)過(guò)認(rèn)真查看,在System進(jìn)程樹(shù)下發(fā)現(xiàn)了一個(gè)名為FireFly.exe的可疑進(jìn)程,正好這個(gè)可疑進(jìn)程和那個(gè)可疑的啟動(dòng)項(xiàng)是聯(lián)系到一起的?! ‖F(xiàn)在大夫來(lái)進(jìn)行木馬程序的清除工作。首先在Process Explorer的System進(jìn)程樹(shù)下,找到FireFly.exe這個(gè)可疑進(jìn)程,然后點(diǎn)擊右鍵菜單中的“終止進(jìn)程”按鈕將該進(jìn)程結(jié)束。再切換到AutoRuns窗口,在系統(tǒng)服務(wù)中找到該木馬的啟動(dòng)項(xiàng)Remote Control,同樣點(diǎn)擊鼠標(biāo)右鍵中的“刪除”命令即可刪除該啟動(dòng)項(xiàng)。
    由于AutoRuns的刪除是直接對(duì)注冊(cè)表進(jìn)行操作的,沒(méi)有辦法自動(dòng)恢復(fù),所以用戶(hù)不要看到什么使人生疑的東西就刪除。如果僅僅是懷疑的話,用的時(shí)候把啟動(dòng)項(xiàng)前面的鉤去掉就可以了。最后來(lái)到磁盤(pán)的C:Program Files irefly-remote文件夾下,將整個(gè)文件夾刪除即可。
    由于流螢是一款木馬程序,所以它主要是通過(guò)網(wǎng)頁(yè)木馬、文件捆綁等主要方式進(jìn)行傳播的。但是人們往往忽略這些環(huán)節(jié)而“大意失荊州”,以至于在個(gè)人信息受到威脅時(shí)后悔莫及。從整個(gè)木馬清除過(guò)程來(lái)看,最簡(jiǎn)單的可疑程序檢測(cè)方法就是參看這些文件的“說(shuō)明”和“發(fā)行商”有沒(méi)有具體的內(nèi)容。如果發(fā)現(xiàn)某些文件沒(méi)有這些內(nèi)容的介紹,那么首先就需要對(duì)它們進(jìn)行重點(diǎn)檢查。
    除此之外我們知道,現(xiàn)在很多具有遠(yuǎn)程控制功能的軟件,自身都帶有一個(gè)“/u”的卸載參數(shù),運(yùn)行后服務(wù)端就可以完全卸載。以后遇到可疑文件就可以用這個(gè)參數(shù)來(lái)試著卸載,流螢的服務(wù)端也可以采用這種方式進(jìn)行卸載。