今天刚刚上班不久,病毒诊所的王斌医生就接待了“病人”家属小张。看着他满头大汗的样子,听着他急切的叙述,王斌医生了解到小张的淘宝网的密码被盗。与此同时,其他的一些账户密码也同时被盗。一听密码被盗,王斌医生的头脑马上浮现出“木马”二字。那么是什么木马这么厉害呢?从小张口中得知,该木马在进入系统不久,就会出现资源管理器进程要求连接网络的提示。文章该木马运行后不但占用了大量系统资源,而且使系统运行十分地不稳定。木马会将自己的进程插入到资源管理器的进程中,然后根据黑客设置的窗口标题关键字,去获取指定窗口的键盘输入,从而获得相关的密码信息。通过小张述说的木马特征,王医生果断地下了结论:小张的计算机系统被人种植了“红蜘蛛”木马。红蜘蛛木马档案“红蜘蛛键盘记录器”这款木马可以获取多种程序中的信息内容,比如即时通讯软件、游戏、电子邮件等等。该木马在感染系统后,会在系统的System32目录中生成RedSpider.dll和RedSpider.exe这两个文件。其中文件RedSpider.exe是木马程序的主文件,通过它来调用文件RedSpider.dll来执行,最终通过文件RedSpider.dll来获取用户的键盘输入信息。
掌握“蜘蛛”行蹤首先打开系统的任务管理器,通过认真的检测查看后,并没有发现其中有什么可疑的进程,王医生分析该木马可能是使用了Rootkit技术对木马进程进行了隐藏。tW.wINgWIt.cOM于是运行IceSword这款可以检测到隐藏进程的工具,点击左侧工具栏中的“进程”按钮,结果和在任务管理器查看的结果一样,也没有发现任何隐藏的进程。既然没有发现隐藏的进程,那么还有一种可能就是该木马使用了线程插入技术。使用线程插入技术的木马程序都有一个特点,就是喜欢将其线程插入到IE浏览器或资源管理器的进程中,这主要是由于这两个进程是Windows系统中最常见的进程。根据小张先前的提示,看来该木马最有可能将线程插入到资源管理器的进程中(图2)。发现藏身之所王医生通过鼠标选择资源管理器的进程Explorer.exe,接着在这个进程上单击鼠标右键,并选择菜单中的“模块信息”命令。然后在弹出的“进程模块信息”窗口认真查找,果然在其中发现了一个名为“RedSpider.dll”的可疑DLL文件。
王医生接着使用System Repair Engineer(SREng)来检查该木马出现的启动项。如果 SREng发现一个可疑的项目,那么它会以颜色高亮显示从而提醒用户。点击SREng窗口中的“启动项目”按钮后,在启动列表发现了一个名为“RedSpider”的启动项。该启动项的名称和可疑DLL文件一模一样,所以它就是木马程序的启动项。断其头斩其身既然已经成功的发现木马文件的启动项,现在就可以开始清除木马了。王医生首先在SREng的“启动项目”选项中找到该木马的启动项“RedSpider”,接着点击操作窗口中的“删除”按钮将该启动项删除掉。
但是该木马的进程删除起来却有些麻烦,因为要删除该木马的进程,首先要结束资源管理器的进程,而资源管理器进程又是系统必须运行的进程之一,操作起来有些棘手。好在IceSword可以帮用户很好的解决。首先在IceSword的进程中选择资源管理器的进程,接着打开其“进程模块信息”窗口,在窗口中找到“RedSpider.dll”后点击“强制解除”按钮即可卸载该DLL文件。最后打开系统的system32目录,找到RedSpider.dll和RedSpider.exe这两个文件进行删除。随后重新启动系统再对系统的进程、启动项、系统目录进行检查,没有发现可疑文件的蹤迹,确定已经将该木马程序成功的清除了。防范第一“红蜘蛛”木马主要还是通过网页木马、文件捆绑等方式进行传播。因此,我们须安装杀毒软件来进行木马程序的实时防护,尤其是脚本监控功能可以及时的发现网页中链接的网页木马。最后,提醒大家注意,资源管理器的进程是一个本地进程,如果有一天防火墙提示你该进程需要访问网络,那么这个进程一定是被恶意程序所利用了。