瑞星卡卡安全论坛
BlackStone - 2005-12-13 12:21:00
前一段时间Sony的CD反盗版保护RootKit被Sysinternals的Mark揭露后,在网上吵的沸沸扬扬,国外杀毒厂商也说黑客已利用了Sony的Rookit漏洞。本人前几天在一朋友的机器上发现了一个类似的木马,现把此木马的发现和删除过程与大家分享,木马技术也发展到了驱动级,希望大家提高防范意识,现在的网络真的是太不安全了。
说明:转载请注明出处和作者-BlackStone(最近在网上看到很多网站转贴了我的文章,没有注明出处和作者,更有甚者把图片修改后署上自己的名字)。
BlackStone - 2005-12-13 12:22:00
我的安全意识还是比较强的,使用别人机器上网前都会用
procexp(
http://www.sysinternals.com/Files/ProcessExplorerNt.zip)查看一下有没有可疑的进程,用
Autoruns(
http://www.sysinternals.com/Files/Autoruns.zip)查看有没有可疑的启动项,检查未发现异常,开始上网,上了一会,关闭IE,准备关机。不经意间在防火墙网络访问信息中发现有iexplorer.exe访问网络,并且一会又消失了,因为我已经关闭了所有的IE窗口,所以这引起了我得注意。我马上打开procexp查看,但我并未发现那个iexplorer.exe,难道是防火墙误报,我下载了一个
TcpView(
http://www.sysinternals.com/Files/TcpView.zip),果然看到一个在进程列表中不存在的IE进程不停的访问网络。
如图:
附件:
58878120051220170604.JPG
BlackStone - 2005-12-13 12:22:00
这时我确定机器肯定中了木马,那个木马又是怎么启动的呢,我打开
Autoruns仔细查找启动项,但找不到。此时我确认机器中了一个比较难缠的木马,我下载了
RootkitRevealer(
http://www.sysinternals.com/Files/RootkitRevealer.zip) 进行查找,果然不出所料,机器上有几个注册表隐藏项,和文件隐藏项
如图:
附件:
58878120051220170841.JPG
BlackStone - 2005-12-13 12:22:00
BlackStone - 2005-12-13 12:23:00
BlackStone - 2005-12-13 12:23:00
BlackStone - 2005-12-13 12:23:00
删除驱动文件,重启计算机,病毒进程立即现身,如图:
附件:
58878120051213122733.JPG
BlackStone - 2005-12-13 12:23:00
RootkitRevealer还报RPCSS服务的注册表一项被隐藏,因为驱动已经删除,再此打开注册表,木马更改的项马上现身了,若图:
附件:
58878120051213122935.JPG
BlackStone - 2005-12-13 12:23:00
将Rpcss服务的注册表项改回初始值,如图,重启问题搞定
附件:
58878120051213123001.JPG
BlackStone - 2005-12-13 12:24:00
总结:此木马为驱动级木马,底层勾了ntoskrnl.exe导出函数,实现进程隐藏,文件隐藏。
zwvmlmtz.dll:替换Rpcss服务的DLL,实现自启动功能(Rpcss服务是系统重要服务),调用驱动。
zwvmlmtz.sys:挂接系统函数,隐藏自己的注册表项,隐藏Rpcss改动的注册表项(通过regedit查询到的值不准确),隐藏文件,把自己伪装为IE进程(防火墙一般默认IE进程访问网络自动放行的)。
zwvmlmtz.d1l:木马作者真正用意所在模块。
BlackStone - 2005-12-13 12:24:00
补充1:若只删除问题文件,不把rpcss服务的DLL改回初始值会导致Rpcss服务无法启动的。
BlackStone - 2005-12-14 8:56:00
补充2:木马作者也许没有在XP系统测试,此木马在XP系统驱动无法加载,rpcss替换DLL也有问题。本文中计算机系统为win2K。
baohe - 2005-12-14 9:26:00
【回复“BlackStone”的帖子】
不错!置顶。
心言 - 2005-12-14 9:28:00
很不错,支持.
心言 - 2005-12-14 9:29:00
| 引用: |
【baohe的贴子】【回复“BlackStone”的帖子】
不错!置顶。
........................... |
严重同意ing
☆龙的传人☆ - 2005-12-14 9:36:00
同意,好!
聪明注册会计师 - 2005-12-14 9:52:00
看不懂,你是也帮项一下吧
艾玛 - 2005-12-14 9:55:00
好贴
找到问题文件是关键
删除之相信大家应该能够解决吧
七情叉烧包 - 2005-12-14 10:03:00
学习了,图文并茂,还有软件介绍。好。
病毒新手 - 2005-12-14 10:20:00
很不错!厉害啊!学习了!
一簔烟雨 - 2005-12-14 10:38:00
学习了,谢谢!!
天天网 - 2005-12-14 11:25:00
用心良苦
2116bromgamed2m - 2005-12-14 15:48:00
【BlackStone的贴子】
我问一下(如图)
1:它怎么老是连接网络?我没有调用
2:HH.EXE 是什么东东呀?
谢谢
附件:
60115320051214154855.JPG
影子110 - 2005-12-14 15:55:00
楼主强~~~
爱我就跟我走 - 2005-12-14 16:18:00
学习了,谢谢!!
BlackStone - 2005-12-14 16:40:00
| 引用: |
【2116bromgamed2m的贴子】【BlackStone的贴子】
我问一下(如图)
1:它怎么老是连接网络?我没有调用
2:HH.EXE 是什么东东呀?
谢谢
........................... |
1.防火墙已经显示的很清楚了,应该是realplay在尝试打开它的主页。
2.HH.exe是CHM文件的浏览工具,也就是说你打开CHM文件,windows系统自动启动一个hh.exe
2116bromgamed2m - 2005-12-14 17:12:00
【回复“BlackStone”的帖子】
谢谢回复
realplay在尝试打开它的主页那应不应该禁止呀还是允许.我怕里面嵌入木马.
花落花又开 - 2005-12-14 18:11:00
【回复“2116bromgamed2m”的帖子】
可以禁止,也可允许.
另,支持楼主的文章.
独孤豪侠 - 2005-12-14 18:30:00
收葳~~好贴~~~~
miki7878 - 2005-12-14 18:32:00
有可能我也中彩了!因为进程中的IEXPLORE的I有时候是小写的!有时是大写的!
© 2000 - 2026 Rising Corp. Ltd.