冰刃,似乎就是为了对付驱动级木马的先期准备武器;现在的木马以及所谓的流氓软件,已经不那么客气了,而是很无赖的怎么黏糊怎么来,怎么藏得深怎么来,以前查杀木马病毒从目录、文件等方面都还可以看出,现在的驱动级木马也已经是屡见不鲜了,当然,对于普通电脑使用者来说,发现这些驱动级的木马更是难度极大,几乎无从查起,那么利用冰刃icesword来查找,就容易多了,举例说明用冰刃icesword来查找比较流行的pcshare远程控制类的木马。
驱动级隐藏木马结合了最新的Rootkit技术,用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息,现在在互联网上居于主流,那些小儿科的自动启动类、混淆系统文件用户名类的,已经比较容易判断了;
IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者这么多年的使用中,IceSword表现很令笔者满意,绝对是一把强悍的瑞士军刀——小巧、强大。
pcshare:一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术,达到系统级别的隐藏。类似灰鸽子。
PcShare样本(arcldrer.exe)运行后释放文件有:
%System32%\Ybfbqufe.d1l
%System32%\Ybfbqufe.dll
%System32%\drivers\Ybfbqufe.sys
插入并启动IE隐藏进程:
在注册表中添加了隐藏的驱动服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]
指向%SystemRoot%\System32\drivers\Ybfbqufe.sys
如果是XP系统:
修改dmserver服务(监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]
指向病毒文件:
"ServiceDll"="%System32%\Ybfbqufe.d1l"
如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。
如果是2000系统:修改RpcSs服务(Remote Procedure Call Services):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]
指向病毒文件:
"ServiceDll"="%System32%\Ybfbqufe.d1l"
rpcss.exe是微软Windows操作系统的一部分。它用于本地计算机的远程程序调用
服务。它是本地网络的公用服务。这个程序对系统的正常运行是非常重要的。
1.IceSword的“防”:冰刃,显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏,用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外,你可以试着将软件的文件名改一下,比如改为miaosha.exe,那么显示出来的进程名就变为了miaosha.exe。现在你再试着关闭一下IceSword,是不是会弹出确认窗口?这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。
2.IceSword的“攻”:IceSword的作者在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。举例来说明IceSword几招必杀技。
朋友的个人服务器(Windows 2003),出现异常,网络流量超高,朋友使用常规方法只可以清除简单的木马,并没有解决问题,怀疑是中了更强的木马,,直接登录到系统安全模式检查,谁知也没有什么特别发现。于是尝试拿出IceSword这把“瑞士军刀”
第一步:打开IceSword,在窗口左侧点击“进程”按钮,查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚,但使用系统自带的“任务管理器”是看不到些进程的。注意,IceSword默认是使用红色显示系统内隐藏程序,但IceSword若在内核模块处显示多处红色项目并不都是病毒,我们还需要作进一步的技术分析及处理。别以为只是系统自带的任务管理器功能弱,未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比,同样也没办法发现“幕后黑手”的踪影。
第二步:点击窗口左侧的“服务”按钮,来查看系统服务,这个木马的服务也是隐藏的,怪不得未能发现行踪。
第三步:既然看了服务,也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSword也提供查看/编辑注册表功能,正好和系统的“注册表编辑器”也来个对比,点击窗口左侧的“注册表”标签,然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项。真是不比不知道,一比吓一跳。看来,系统内置工具还是选择“沉默”,还记得《如何查杀隐形木马》一文吧,虽说鸽子在正常模式下,它的主服务也能隐藏,但它在系统的“注册表编辑器”内完全是显示的,更不要说目前是安全模式。仔细看看,既然已经从IceSword得到可靠情报,得知“幕后黑手”位于系统目录E:\Windows\system32\wins下。
第四步:我们还是用系统的“资源管理器”和IceSword对比一下,点击窗口左侧的“文件”标签,“资源管理器”选择了“交白卷”。在IceSword的文件浏览器与系统的“资源管理器”明显对比下,IceSword已经发现三只“黑手”,正是因为有这只隐藏的幕后黑手,难怪朋友搞了几次,换了不同的防病毒软件还是没清干净。
第五步:剩下的事容易多了,在IceSword中点击“查看”标签下的“进程”按钮,右击刚刚发现的隐藏进程,选择“结束进程”。然后用IceSword删除那三个木马文件,最后,还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后,再使用杀毒软件重新杀一遍系统,确认没有其他的木马。
上面的例子充分体现了IceSword的魅力所在。正如作者所言,IceSword大量采用新颖技术,有别于其他普通进程工具,比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程,就这一点,其他同类软件就是做不到的。当然有些进程也不是随便可以结束的,如系统的winlogon.exe进程,一旦杀掉后系统就崩溃了,这些也需要注意。
道高一尺、魔高一丈,魔道之争,永远没有停止,病毒与安全的工具之争,也是没有尽头;今天发现那个搞“网络吸血鬼”的病毒软件作者已经被拘了,本来要详细剖析一下这个病毒软件的,素材已经收集得差不多了。这个作者也确实对这方面有过比较深的研究和收集,包括最新的flash漏洞都被他利用到了他的主页,如果杀毒软件不尽责,就危险了;另外,既然flash显示在他的百度空间主页,并且反编译swf文件也比较容易,如果有人要再利用这个swf文件而下载执行其他非法文件的话,也是很危险。还有,“网络吸血鬼”这个软件所包括的功能,非常之全,简直到了让人有些促不及防的地步。黑白无界限,利用手中的技术、稍左稍右,所产生的结果,都是很可怕的。
