目前在网络上流窜作案的木马通常都是使用TCP端口进行远程控制,但是这种木马对稍具网络安全防范意识的朋友来说是很容易被发现的。狡猾的入侵者面对这种情况,开发出了利用UDP端口的木马,这种木马的特点就是隐蔽性极好,不容易被发现。本文就来介绍笔者处理UDP木马神气儿的经过,为大家提供一点参考。
一、情况描述
开机后,只要我拨号上网,网络防火墙就弹出一个提示窗口,询问是否允许“Internet EXPlorer”连接网络。我从提示框的“地址”一栏也证实了确实是IE浏览器的进程要求访问互联网,可我上网从来都只用Maxthon.原以为是系统本身的问题,便重新启动系统,可是当我拨号上网后不久,IE浏览器便要求访问互联网。对系统进行一次彻底地病毒扫描,结果一无所获。
二、根掘端口查找线索
虽然杀毒软件没有扫描出结果,但我隐隐约约感觉到这个幕后黑手可能是一个木马程序,因为流氓软件不会对系统是否联网进行判断,而很多木马才会有这个功能,之所以不被查杀可能因为它是一个全新的木马程序,也可能被入侵者进行了特征码修改的免杀操作。
再次拨号上网,防火墙又出现了IE浏览器连接互联网的请求。运行木马辅助查找器(下载地址http://www.ysye.com/soft/446.Html),这是一款可以辅助用户进行恶意程序检查的工具(图1)。点击“端口信息”选项,这里用户不但可以查看到哪些端口被打开使用,还可以看到是哪些进程打开的这些瑞口,从而方便用户根据实际的情况决定是否终止进程来关闭某些端口。点击“刷新”按钮可以及时更新当前的端口情况。
图1
从查找到的信息中我发现一个特别的地方,就是IE浏览器的进程居然用的是UDP协议,也就是说这个木马程序也用的是UDP办议。而正常情况下,不管是IE浏览器的网络访问,还是我们常见的木马程序在进行数据传输的时候,都是采用TCP协议。
现在我只要查找到哪些木马程序是采用UDP协议进行数据传输的,就可以判断出是什么木马程序在作祟。通过上网搜索,发现只有一种名为神气儿的国产木马是采用UDP协议进行数据传输的(图2)。
图2
事后查出,神气儿是国内第一款UDP木马,此木马号称“无进程、无服务、无DLL”。该木马是以系统服务为启动方式,使用者可以自定义木马启动服务的名称、服务端程序的名称、安装目录以及上线的端口等,增加了发现此木马的难度。
三、根据特性清除木马
由于神气儿的服务端程序是通过系统服务进行启动的,所以要通过服务管理器来查看系统中可疑的服务。
在“我的电脑”图标上点击鼠标右键选择“管理”命令,接着在弹出的“计算机管理”窗口中选择“服务”选项(图3),然后在这些系统的服务中查找可疑的服务。果然从中查到一个名为SQx的可疑服务,接着记录下这个启动服务的名称,以及所指的程序路径:\Windows\system32\sapoolsv.exe.在“开始→运行”输入CMD,进入命令提示符窗口,然后输入“sc delete sqe”(图4),将该服务删除。
[1] [2]
图3
图4
点击木马辅助查找器中的“进程监控”选项,点击“自动扫描可疑程序”按钮,程序会自动对当前的进程进行查看,判断是否包含可疑进程,结果还是没有查出可疑的线程。
我只好选择开IE浏览器的进程,接着就可以在“DLL名称”窗口中查看该进程下所有的线程。我意外地从中找到一个可疑的线程soul.dll.终止这个假IE浏览器的进程,再将C:\Windows\system32目录中spoollsv.exe和soul.dll文件删除。然后重新启动电脑,再次拨号上网,防火墙没有弹出连接请求,木马清除成功。
(出处:http://www.sheup.com)