今天在病毒诊所值班的是陈涛医生,为了掌握最新的病毒木马信息,陈涛医生常常利用没有病人的时间在网上浏览。这时从门外沖进来一位满头大汗的病人,病人称最近一段时间,常常发现系统鼠标不停地自己移动。自己通过对任务管理器的查看,发现一个远程控制软件VNC的服务端进程,结束这个进程后没有多久的时间,鼠标又开始自动移动,同时该进程又出现了。小知识:什么是VNCVNC(virtual network computing虚拟网络计算),是一种远程控制的技术,简单来说,就是将远端的图形桌面,显示到本地终端的一种技术。
听完病人的讲述,陈涛医生分析后判断,如果只是单一的远程控制软件VNC进行控制,绝不会出现这种情况,那么极有可能就是中了最近流行的“混血”木马Bandook。混血木马BandookBandook是一款国外的超级木马程序,因为这个木马程序是用C++和Delphi两种程序语言编写的,而在黎巴嫩语中Bandook又是混血儿的意思,因此该木马就被作者命名为Bandook。该木马程序除了编写语言采用了混合方式,在控制方式方面也采用了混合方式,既可以利用木马程序本身进行远程控制操作,又可以利用木马程序上传控制插件,而改由控制软件WINVNC进行控制操作。VNC只是木马替身陈涛医生首先查看了系统的任务管理器,果然在进程列表中发现了一个名为winvnc.exe的进程(图1)。TW.WinGWIt.COm然后陈涛医生又打开了系统服务管理器,查看其中是否拥有WINVNC的启动服务,因为WINVNC在NT格式的Windows系统中,都是利用系统服务来启动服务端程序的。结果经过一番认真的检查,并没有发现WINVNC的启动服务,这就说明该服务端程序有其他的启动方式。IE进程才是木马真身看来想通过WINVNC服务端内容,来获取恶意程序的信息是不可能的了。于是陈涛医生马上改变策略,运行“木马辅助查找器”并选择其中的“进程监控”标签,通过认真的查找果然在进程列表中发现了一个IE浏览器的进程。由于IE浏览器是恶意程序常常利用的进程,所以陈涛医生决定对其进行一番严格的检测。选中进程列表中的IE浏览器进程,接着在下面的模块列表中很快发现多个既没有“公司”说明,也没有“描述”信息的可疑模块文件,但是通过这些模块文件一时又无法判断出这是什么恶意程序(图2)。现在选择“木马辅助查找器”中的“启动项管理”标签,从中一下子发现两个类似可疑的启动项(图3)。说它类似是因为启动键名称和程序路径的信息都是一样的,说它可疑是因为该文件同时利用注册表的多个启动项进行启动,并且从启动名称“Bandook”中我们得到一个重要的信息。Bandook是一款国外的木马程序,木马作者为了减少服务端程序的体积,于是通过很多的功能插件来实现更多的功能,其中包括远程桌面、远程视频、公共插件、密码插件、RAR插件、VNC插件等。图2中我们看到的那些可疑模块,就是Bandook木马安装的功能插件。另外VNC服务端也是木马程序的插件之一,但是VNC插件并不是以DLL文件的形式存在,所以我们在任务管理器中可以看到它的进程。这些插件都没有自己的启动项,因为它们都是随着服务端程序的启动而启动的。清除混血木马首先断开互联网的连接,在“木马辅助查找器”的“进程监控”标签中,找到VNC服务端进程和IE浏览器的进程,选中它们以后点击窗口的“终止选中进程”按钮结束这些进程;接着选择“启动项管理”标签中的“注册表启动项”选项。在列表中找到和木马相关的两个启动项后,单击“删除选定”按钮即可将木马的启动项删除。进入Windows系统的System32目录中,选中和服务端文件相关的文件和插件后进行删除,这样即可完成服务端的全部清除工作。如果Windows系统提示文件正在使用的话,可以重新启动系统以后再进行文件的删除操作。