开发杀毒软件潜能 彻底清除DLL注入木马[图文]
这篇文章感觉比较适用,对于中级的杀毒软件用户比较有参考价值
什么是DLL注入木马?就是利用DLL文件,插入系统关键进程中,通过系统进程调用启动运行的木马。DLL文件是Windows中的库链接文件,是Windows系统中许多驱动和程序运行时必需的文件。DLL文件与EXE文件不同,是不能直接运行的,简单地说,所谓的DLL木马就像是一个寄生虫,寄宿在某个重要的系统进程中;单独的DLL文件是无法执行的,就像寄生虫离开了宿主无法存活一样,DLL木马必须通过宿主来调用DLL文件,实现远程控制的功能。但正是由于DLL文件注入到系统进程中的特殊性,因此很难为一般的杀毒软件查杀掉。
举个例子,大家可以打开KV2007的进程查看器,任意选中一个进程,点击右键,选择“模块列表”命令,在弹出的对话框中,就可以看到此进程调用的各种模块信息(如图)。
在这些模块中,有可能就有DLL木马模块。正是由于DLL木马隐藏在进程中,而不是作为一个单独的进程,因此很难检查出来。既使查出了木马,也很难成功地清除掉。为什么呢?因为有些DLL木马被进程所调用,要删除DLL木马文件中时,往往会提示该文件正在使用中,因此无法删除。只有结束掉被DLL木马注入的进程,才可以成功删除该木马。但如果某些DLL木马注入到如“csrss.exe”或“winlogon.exe”之类的进程中(例如曾经非常流行的“黑客之门”木马),一旦结束这类进程时,就会造成系统重启。因此木马也成了顽疾,再也无法清除掉。而且,DLL木马有一个得天独厚的优势,那就是它借助于隐藏在正常的系统进程中,因此可以突破网络防火墙,被黑客或恶意攻击者连接控制。例如,假设某个DLL木马注入到了IE进程中,当木马连接远程控制端时,防火墙会认为是IE进程在使用网络,因此就会放进,导致隐藏在其中的DLL木马得以无阻碍的穿透网络。
也许“熊猫烧香”、“ANI漏洞木马”等木马病毒攻击事件,仅仅是造成一阵病毒攻击潮,那么DLL插入类木马,才是在真正地一直威胁着众多的电脑用户!
典型的DLL插入式木马——“上兴远程控制”
可能大家还是对DLL木马不太了解,这里举个例子,介绍一款叫作“上兴远程控制”的木马,看看这类木马有多恐怖,如果你的系统中被植入了这样的木马,该怎么办?
“上兴远程控制木马”是一款极强大的DLL注入木马,支持域名反弹连接进行远程控制,可以注入到各种系统程序中,可以有效穿透防火墙,并且不为杀毒软件所查杀。上兴木马之所以可以兴风作浪,其关键在于该木马的配置上。在木马的“安装设置”选项中,“DLL名称”处就是木马生成的DLL文件,默认为“rejoice.dll”;在“宿主进程名”中就是木马要注入的系统进程,可以选择为“explorer.exe”或“iexplore.exe”(如图2)。
假设选择注入的是“iexplore.exe”,这是IE浏览器的进程,我们尝试在自己的电脑上运行了生成的木马,可以看到控制端可以操纵中了木马的电脑,能够轻易获得其主机的IP地址、主机名、Ping值等,并且可以进行各种远程控制、轻易地上传下载或删除被控制主机硬盘中的文件,可进行系统管理、远程Shell、屏幕捕捉、键盘记录等(如图3)。
此外,上兴木马还提供了远程屏幕控制(如图4)、摄像头监控、键盘记录等功能,让电脑用户的个人隐私和机密数据等赤裸裸地展现在“黑客”的面前!
通常情况下,运行杀毒软件会报警提示发现病毒,但是使用杀毒软件进行清除病毒时,却无法杀掉木马病毒文件“rejoice.dll”和“rejoice0.dll”;换成手工清除删除病毒,也无法删除病毒文件——这是由于DLL木马文件嵌入到了正在运行的系统进程中,正在使用中的文件是无法删除掉的! 当然,仅仅是嵌入到“explorer.exe”或“iexplore.exe”进程中的DLL木马,还是很容易清除的,只要结束这两个进程再删除木马文件即可,或者在重启时删除病毒文件即可。但是,如果是注入到“svchost.exe”、“smss.exe”、“csrss.exe”或“winlogon.exe”之类的进程中,结束进程的结果就是死机重启!尤其是象NameLess BackDoor、黑客之门之类特殊的DLL木马,还可以实现端口复用、注册为系统服务、多线程守护等,使得DLL木马的隐蔽性更高,查杀难度更大。而且经过免杀的DLL木马,不为杀毒软件检测到,因此更不易被察觉。
日常操作中如感到整体系统速度变慢,尤其是在聊天办公之类打字时会有延迟的感觉及打开网页慢,甚至丢失游戏或QQ密码帐号、文件被删除或修改时,就需要重点检测DLL注入类木马了。
江民防火墙虽然不能直接拦截DLL木马与外部的通信,但是它能够显示本机与外部通信的所有连接。一般来说,只有当我们打开一个网页时,才会有“iexplorer.exe”进程与网页服务器进行连接,如果中了灰鸽子或上兴之类的DLL木马后,不论访问网页还是不访问网页,本机上都会有一个“iexplorer.exe”进程监听连接远程服务器的某个端口。也就是说,我们关闭所有的IE浏览器窗口,再点击江民防火墙面板上的“程序网络状况”按钮,展开本机程序网络状态列表。如果在其中发现有IE浏览器进程“iexplorer.exe”,而且该进程长时间连接到同一个主机的80或8181之类的端口(如图),那么就可以初步断定,发起这些连接的绝对不是IE浏览器,十有八九它就是木马。
什么是DLL注入木马?就是利用DLL文件,插入系统关键进程中,通过系统进程调用启动运行的木马。DLL文件是Windows中的库链接文件,是Windows系统中许多驱动和程序运行时必需的文件。DLL文件与EXE文件不同,是不能直接运行的,简单地说,所谓的DLL木马就像是一个寄生虫,寄宿在某个重要的系统进程中;单独的DLL文件是无法执行的,就像寄生虫离开了宿主无法存活一样,DLL木马必须通过宿主来调用DLL文件,实现远程控制的功能。但正是由于DLL文件注入到系统进程中的特殊性,因此很难为一般的杀毒软件查杀掉。
举个例子,大家可以打开KV2007的进程查看器,任意选中一个进程,点击右键,选择“模块列表”命令,在弹出的对话框中,就可以看到此进程调用的各种模块信息(如图)。
在这些模块中,有可能就有DLL木马模块。正是由于DLL木马隐藏在进程中,而不是作为一个单独的进程,因此很难检查出来。既使查出了木马,也很难成功地清除掉。为什么呢?因为有些DLL木马被进程所调用,要删除DLL木马文件中时,往往会提示该文件正在使用中,因此无法删除。只有结束掉被DLL木马注入的进程,才可以成功删除该木马。但如果某些DLL木马注入到如“csrss.exe”或“winlogon.exe”之类的进程中(例如曾经非常流行的“黑客之门”木马),一旦结束这类进程时,就会造成系统重启。因此木马也成了顽疾,再也无法清除掉。而且,DLL木马有一个得天独厚的优势,那就是它借助于隐藏在正常的系统进程中,因此可以突破网络防火墙,被黑客或恶意攻击者连接控制。例如,假设某个DLL木马注入到了IE进程中,当木马连接远程控制端时,防火墙会认为是IE进程在使用网络,因此就会放进,导致隐藏在其中的DLL木马得以无阻碍的穿透网络。
也许“熊猫烧香”、“ANI漏洞木马”等木马病毒攻击事件,仅仅是造成一阵病毒攻击潮,那么DLL插入类木马,才是在真正地一直威胁着众多的电脑用户!
典型的DLL插入式木马——“上兴远程控制”
可能大家还是对DLL木马不太了解,这里举个例子,介绍一款叫作“上兴远程控制”的木马,看看这类木马有多恐怖,如果你的系统中被植入了这样的木马,该怎么办?
“上兴远程控制木马”是一款极强大的DLL注入木马,支持域名反弹连接进行远程控制,可以注入到各种系统程序中,可以有效穿透防火墙,并且不为杀毒软件所查杀。上兴木马之所以可以兴风作浪,其关键在于该木马的配置上。在木马的“安装设置”选项中,“DLL名称”处就是木马生成的DLL文件,默认为“rejoice.dll”;在“宿主进程名”中就是木马要注入的系统进程,可以选择为“explorer.exe”或“iexplore.exe”(如图2)。
假设选择注入的是“iexplore.exe”,这是IE浏览器的进程,我们尝试在自己的电脑上运行了生成的木马,可以看到控制端可以操纵中了木马的电脑,能够轻易获得其主机的IP地址、主机名、Ping值等,并且可以进行各种远程控制、轻易地上传下载或删除被控制主机硬盘中的文件,可进行系统管理、远程Shell、屏幕捕捉、键盘记录等(如图3)。
此外,上兴木马还提供了远程屏幕控制(如图4)、摄像头监控、键盘记录等功能,让电脑用户的个人隐私和机密数据等赤裸裸地展现在“黑客”的面前!
通常情况下,运行杀毒软件会报警提示发现病毒,但是使用杀毒软件进行清除病毒时,却无法杀掉木马病毒文件“rejoice.dll”和“rejoice0.dll”;换成手工清除删除病毒,也无法删除病毒文件——这是由于DLL木马文件嵌入到了正在运行的系统进程中,正在使用中的文件是无法删除掉的! 当然,仅仅是嵌入到“explorer.exe”或“iexplore.exe”进程中的DLL木马,还是很容易清除的,只要结束这两个进程再删除木马文件即可,或者在重启时删除病毒文件即可。但是,如果是注入到“svchost.exe”、“smss.exe”、“csrss.exe”或“winlogon.exe”之类的进程中,结束进程的结果就是死机重启!尤其是象NameLess BackDoor、黑客之门之类特殊的DLL木马,还可以实现端口复用、注册为系统服务、多线程守护等,使得DLL木马的隐蔽性更高,查杀难度更大。而且经过免杀的DLL木马,不为杀毒软件检测到,因此更不易被察觉。
日常操作中如感到整体系统速度变慢,尤其是在聊天办公之类打字时会有延迟的感觉及打开网页慢,甚至丢失游戏或QQ密码帐号、文件被删除或修改时,就需要重点检测DLL注入类木马了。
江民防火墙虽然不能直接拦截DLL木马与外部的通信,但是它能够显示本机与外部通信的所有连接。一般来说,只有当我们打开一个网页时,才会有“iexplorer.exe”进程与网页服务器进行连接,如果中了灰鸽子或上兴之类的DLL木马后,不论访问网页还是不访问网页,本机上都会有一个“iexplorer.exe”进程监听连接远程服务器的某个端口。也就是说,我们关闭所有的IE浏览器窗口,再点击江民防火墙面板上的“程序网络状况”按钮,展开本机程序网络状态列表。如果在其中发现有IE浏览器进程“iexplorer.exe”,而且该进程长时间连接到同一个主机的80或8181之类的端口(如图),那么就可以初步断定,发起这些连接的绝对不是IE浏览器,十有八九它就是木马。