以前黑客认为木马下载者程序只是起到一个过渡的作用,所以并没有对它进行很好的伪装,但是随着安全软件功能的不断提升,黑客也认识到下载者程序伪装的重要性。最近有一款名为Amalgam Lite下载者程序,不但程序体积非常“迷你”,而且其穿越防火墙的能力也十分了得。IE进程常被调用五一节后,是病毒大量繁衍的时期。今天在病毒诊所值班的徐阳医生一大早就接待了一位病人,这位病人称自己的电脑运行速度很慢,而且不时还弹出一个IE浏览器的进程要求访问网络。在升级了杀毒软件的病毒库,对系统进行了全方位的扫描检测后还是一无所获。听了病人的叙述后,首先徐阳医生怀疑可能是流氓软件,但是他很快否定了自己的想法,因为很多流氓软件在调用IE浏览器无效后,会接着调用其他的系统进程。最后进行一系列的比对后,徐阳医生认为患者受到最近网络上大肆作案的木马下载者——Amalgam Lite攻击。Amalgam Lite档案Amalgam Lite下载者程序是一款体积只有2KB大小,同时拥有反向连接穿越防火墙等功能的远程控制程序。程序代码采用最精简化设置,使用CAsyncSelectEx框架,以及完全利用Windows32 SDK进行编写。程序还可以屏蔽用户的连接,定时检测被控端是否非正常断开连接。IE进程没被插入徐阳医生首先运行IceSword,点击工具栏中的“进程”按钮后,很快发现一个IE浏览器进程的进程(图1),徐阳医生明白这个IE进程一定是被该恶意程序利用了。tW.wINgWIt.cOM为了更好地分析是什么恶意程序利用了IE进程,他在这个IE进程上单击鼠标右键,再选择菜单中的“模块信息”命令。经过在弹出的“进程模块信息”窗口认真查找,徐阳医生并没有发现任何恶意程序模块信息。看来这个恶意程序并不是利用流行的线程插入方法来进行伪装,而是利用IE进程来启动运行服务端程序本身,这种方法和灰鸽子木马的启动方法是一样的。木马利用插件启动虽然知道了恶意程序的利用进程,但是并没有查询到任何该恶意程序的相关信息,于是徐阳医生觉得还是应该通过启动项来进行检测。结果徐阳医生通过对注册表启动项,以及系统服务等常见的启动方式进行检测以后,均没有发现任何可疑的启动项目信息。接着他又运行AutoRuns来查看系统启动项。点击程序操作界面中的“全部”标签,经过一系列认真检查,终于发现一个可疑的启动项。该启动项所指向的程序路径为Windows的系统目录,可是它所对应的应用程序winlogo.exe却没有任何“说明”和“发行商”信息(图2)。
这个应用程序的名称和系统进程Winlogon非常相似,通过这个黑客惯用的伎俩也可以断定这个程序就是恶意程序的主文件。那么这个恶意程序到底是通过什么方式随机启动的呢?徐阳医生点击开始菜单中的“运行”命令,然后在弹出的窗口执行regedit命令打开注册表编辑器。点击“编辑”菜单中的“查找”命令,在弹出的窗口搜索“winlogo.exe”这个关键词,果然经过搜索找到一处(图3)。从图中我们可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即为该恶意程序的启动键值,由此我们也知道了该恶意程序是利用ActiveX插件进行随机启动的,怪不得我们利用常见的方法检测不到它的启动项。轻松清除木马下载者运行安全工具IceSword,在“进程”列表中选择IE浏览器的进程,点击右键菜单中的“终止进程”命令。点击IceSword工具栏中的“文件”按钮,通过资源列表进入木马服务端程序安装的System32目录,找到winlogo.exe这个主程序,通过右键菜单中的“删除”命令将它删除(图4)。接下来运行安全工具AutoRuns,在窗口中找到该木马的启动项,同样点击鼠标右键中的“删除”命令即可删除该启动项。重新启动系统后发现系统运行正常,由此可以证明木马程序已经被彻底清除干净。