什么是DLL注入木馬?就是利用DLL文件,插入系統(tǒng)關(guān)鍵進程中,通過系統(tǒng)進程調(diào)用啟動運行的木馬。DLL文件是Windows中的庫鏈接文件,是Windows系統(tǒng)中許多驅(qū)動和程序運行時必需的文件。DLL文件與EXE文件不同,是不能直接運行的,簡單地說,所謂的DLL木馬就像是一個寄生蟲,寄宿在某個重要的系統(tǒng)進程中;單獨的DLL文件是無法執(zhí)行的,就像寄生蟲離開了宿主無法存活一樣,DLL木馬必須通過宿主來調(diào)用DLL文件,實現(xiàn)遠程控制的功能。但正是由于DLL文件注入到系統(tǒng)進程中的特殊性,因此很難為一般的殺毒軟件查殺掉。
舉個例子,大家可以打開KV2007的進程查看器,任意選中一個進程,點擊右鍵,選擇“模塊列表”命令,在彈出的對話框中,就可以看到此進程調(diào)用的各種模塊信息(如圖)。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161329471.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161329471.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
在這些模塊中,有可能就有DLL木馬模塊。正是由于DLL木馬隱藏在進程中,而不是作為一個單獨的進程,因此很難檢查出來。既使查出了木馬,也很難成功地清除掉。為什么呢?因為有些DLL木馬被進程所調(diào)用,要刪除DLL木馬文件中時,往往會提示該文件正在使用中,因此無法刪除。只有結(jié)束掉被DLL木馬注入的進程,才可以成功刪除該木馬。但如果某些DLL木馬注入到如“csrss.exe”或“winlogon.exe”之類的進程中(例如曾經(jīng)非常流行的“黑客之門”木馬),一旦結(jié)束這類進程時,就會造成系統(tǒng)重啟。因此木馬也成了頑疾,再也無法清除掉。而且,DLL木馬有一個得天獨厚的優(yōu)勢,那就是它借助于隱藏在正常的系統(tǒng)進程中,因此可以突破網(wǎng)絡(luò)防火墻,被黑客或惡意攻擊者連接控制。例如,假設(shè)某個DLL木馬注入到了IE進程中,當木馬連接遠程控制端時,防火墻會認為是IE進程在使用網(wǎng)絡(luò),因此就會放進,導(dǎo)致隱藏在其中的DLL木馬得以無阻礙的穿透網(wǎng)絡(luò)。
也許“熊貓燒香”、“ANI漏洞木馬”等木馬病毒攻擊事件,僅僅是造成一陣病毒攻擊潮,那么DLL插入類木馬,才是在真正地一直威脅著眾多的電腦用戶!
典型的DLL插入式木馬——“上興遠程控制”
可能大家還是對DLL木馬不太了解,這里舉個例子,介紹一款叫作“上興遠程控制”的木馬,看看這類木馬有多恐怖,如果你的系統(tǒng)中被植入了這樣的木馬,該怎么辦?
“上興遠程控制木馬”是一款極強大的DLL注入木馬,支持域名反彈連接進行遠程控制,可以注入到各種系統(tǒng)程序中,可以有效穿透防火墻,并且不為殺毒軟件所查殺。上興木馬之所以可以興風作浪,其關(guān)鍵在于該木馬的配置上。在木馬的“安裝設(shè)置”選項中,“DLL名稱”處就是木馬生成的DLL文件,默認為“rejoice.dll”;在“宿主進程名”中就是木馬要注入的系統(tǒng)進程,可以選擇為“explorer.exe”或“iexplore.exe”(如圖2)。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161329326.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161329326.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
假設(shè)選擇注入的是“iexplore.exe”,這是IE瀏覽器的進程,我們嘗試在自己的電腦上運行了生成的木馬,可以看到控制端可以操縱中了木馬的電腦,能夠輕易獲得其主機的IP地址、主機名、Ping值等,并且可以進行各種遠程控制、輕易地上傳下載或刪除被控制主機硬盤中的文件,可進行系統(tǒng)管理、遠程Shell、屏幕捕捉、鍵盤記錄等(如圖3)。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161329661.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161329661.jpg" width=700 onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
此外,上興木馬還提供了遠程屏幕控制(如圖4)、攝像頭監(jiān)控、鍵盤記錄等功能,讓電腦用戶的個人隱私和機密數(shù)據(jù)等赤裸裸地展現(xiàn)在“黑客”的面前!
通常情況下,運行殺毒軟件會報警提示發(fā)現(xiàn)病毒,但是使用殺毒軟件進行清除病毒時,卻無法殺掉木馬病毒文件“rejoice.dll”和“rejoice0.dll”;換成手工清除刪除病毒,也無法刪除病毒文件——這是由于DLL木馬文件嵌入到了正在運行的系統(tǒng)進程中,正在使用中的文件是無法刪除掉的! 當然,僅僅是嵌入到“explorer.exe”或“iexplore.exe”進程中的DLL木馬,還是很容易清除的,只要結(jié)束這兩個進程再刪除木馬文件即可,或者在重啟時刪除病毒文件即可。但是,如果是注入到“svchost.exe”、“smss.exe”、“csrss.exe”或“winlogon.exe”之類的進程中,結(jié)束進程的結(jié)果就是死機重啟!尤其是象NameLess BackDoor、黑客之門之類特殊的DLL木馬,還可以實現(xiàn)端口復(fù)用、注冊為系統(tǒng)服務(wù)、多線程守護等,使得DLL木馬的隱蔽性更高,查殺難度更大。而且經(jīng)過免殺的DLL木馬,不為殺毒軟件檢測到,因此更不易被察覺。
日常操作中如感到整體系統(tǒng)速度變慢,尤其是在聊天辦公之類打字時會有延遲的感覺及打開網(wǎng)頁慢,甚至丟失游戲或QQ密碼帳號、文件被刪除或修改時,就需要重點檢測DLL注入類木馬了。
江民防火墻雖然不能直接攔截DLL木馬與外部的通信,但是它能夠顯示本機與外部通信的所有連接。一般來說,只有當我們打開一個網(wǎng)頁時,才會有“iexplorer.exe”進程與網(wǎng)頁服務(wù)器進行連接,如果中了灰鴿子或上興之類的DLL木馬后,不論訪問網(wǎng)頁還是不訪問網(wǎng)頁,本機上都會有一個“iexplorer.exe”進程監(jiān)聽連接遠程服務(wù)器的某個端口。也就是說,我們關(guān)閉所有的IE瀏覽器窗口,再點擊江民防火墻面板上的“程序網(wǎng)絡(luò)狀況”按鈕,展開本機程序網(wǎng)絡(luò)狀態(tài)列表。如果在其中發(fā)現(xiàn)有IE瀏覽器進程“iexplorer.exe”,而且該進程長時間連接到同一個主機的80或8181之類的端口(如圖),那么就可以初步斷定,發(fā)起這些連接的絕對不是IE瀏覽器,十有八九它就是木馬。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161416563.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161416563.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
——當然了,DLL木馬不一定都注入到“iexplorer.exe”進程中,也可能注入到其它進程中。但是這些木馬絕大部份是通過80、8080或8181等幾個端口反彈連接的,因此通過江民防火墻檢測網(wǎng)絡(luò)連接時,只要足夠細心,都可以找出DLL木馬隱身的宿主進程。特別是發(fā)現(xiàn)“Windows Explorer”進程連接網(wǎng)絡(luò)端口時,基本上可以肯定是中了DLL木馬(如圖),因為此進程是資源管理器的,不可能連接網(wǎng)絡(luò)。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161416159.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161416159.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
找到木馬宿主進程后,這里以“iexplorer.exe”進程為假設(shè),在KV2007中,點擊菜單“工具”→“進程查看器”,打開進程查看器對話框
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161416981.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161416981.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
在其中找到“iexplorer.exe”進程,右鍵點擊該進程后,在彈出菜單中選擇“模塊列表”命令,打開模塊列表就可以檢查該進程中的模塊是否安全、是否有DLL木馬注入其中
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161416484.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161416484.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
當然,許多用戶沒有經(jīng)驗,看不出可疑的模塊來,因此可以勾選“隱藏標記為Micorsoft的模塊”項,所有正常的模塊就被隱藏了,而上興木馬的DLL模塊“rejoice.dll”就赫赫然顯示在你的眼前了
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/200751516153846.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/200751516153846.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
此外,在“進程查看器”中,還可以直接檢測出新版的上興木馬2007及其它一些冒充的DLL注入木馬進程(如圖)。另外,利用KV2007的未知病毒檢測功能,也能有效地檢測出DLL木馬模塊
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161538588.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161538588.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161538994.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161538994.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
查找到DLL木馬文件,并定位了注入的宿主進程,就可以開始清除DLL木馬病毒了。清除的實質(zhì)很簡單,主要就是刪除掉DLL木馬文件,禁止掉DLL木馬的調(diào)用,不過在實施的時候卻不是那么的簡單,比如清除時會出現(xiàn)桌面消失、重啟等現(xiàn)象。對于可檢測的已知木馬,KV2007可以在掃描到后智能地自動結(jié)束掉相應(yīng)的宿主進程,直接刪除。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/20075151615384.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/20075151615384.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
對于未知的DLL木馬,可以關(guān)掉所有IE窗口,或者用KV2007的“進程查看器”結(jié)束掉“explorer.exe”進程,然后直接找到DLL文件進行刪除就可以了。不過在通過任務(wù)管理器結(jié)束掉"explorer.exe"進程時,電腦桌面的所有圖標會消失掉,剩下的只是黑黝黝的屏幕上只有任務(wù)管理器可用。這時候,可以在任務(wù)管理器中點擊菜單"文件"→"新任務(wù)運行",打開創(chuàng)建新任務(wù)對話框,點擊"瀏覽"按鈕,通過瀏覽對話框就可以打開DLL文件所在的路徑(如圖)。然后選擇"文件類型"中輸入"*.dll",即可顯示并刪除DLL文件了。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161538447.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161538447.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
如果木馬是插入了"svchost.exe"之類的關(guān)鍵進程中,KV2007會在掃描到木馬后,自動設(shè)置為重啟刪除。對于不能檢測的免殺DLL木馬,則可以利用KV2007提供的“重啟刪除”功能,采用手工刪除的方法進行清除:直接在要刪除的DLL木馬文件上點擊右鍵,在彈出菜單中選擇“重啟刪除”命令(如圖),重新啟動系統(tǒng)時就會自動刪除該文件了。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/200751516169909.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/200751516169909.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
對于加載到“Winlogon.exe”之類進程中的DLL木馬,在清除時會造成系統(tǒng)崩潰重啟。對于這類DLL木馬病毒,最好用BOOTSCAN在Windows系統(tǒng)啟動前進行清除,因為此時任何Dll文件都是不會加載調(diào)用的。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/200751516169556.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/200751516169556.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
如果注入“Winlogon.exe”之類進程中的DLL木馬文件,殺毒軟件不能報警查殺的,似乎KV2007也沒有辦法了。遇到這種狀況,一般是采用系統(tǒng)引導(dǎo)盤進入DOS模式中,或者利用“MAXDOS”之類的虛擬DOS環(huán)境,去刪除木馬文件。筆者以前也一直這樣做的。不過,后來竟然意外地發(fā)現(xiàn)KV2007光盤歐特殊作用,完全不用其它的工具,可以直接對硬盤中的木馬文件進行刪除操作!
用KV2007光盤引導(dǎo)系統(tǒng)后,自動進行病毒查殺,停止病毒掃描。點擊左下角處黑方塊的“Console”按鈕,打開Linux系統(tǒng)SHELL窗口
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161690.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161690.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
點擊SHELL窗口菜單“會話”→“新建Midnight Commander”命令,新建一個圖形化的會話標簽(如圖)。雙擊其中的“UP-DIR”欄,返回上一層根目錄(如圖)。雙擊其中的“/mnt”欄,打開當前驅(qū)動器目錄列表(如圖)。如果是STA串口硬盤的話,則選擇“sda”目錄,如果是普通IDE硬盤的話,則選擇“hda”目錄。雙擊打開目錄后,即可進入硬盤驅(qū)動器根目錄中,找到DLL木馬所在的文件夾路徑(如圖),選擇要刪除的DLL木馬文件,點擊下方的“8 Delete”按鈕,彈出刪除文件提示對話框。點擊“Yes”,即可成功將DLL木馬文件刪除掉。
點擊SHELL窗口菜單“會話”→“新建Midnight Commander”命令,新建一個圖形化的會話標簽(如圖21)。雙擊其中的“UP-DIR”欄,返回上一層根目錄(如圖22)。雙擊其中的“/mnt”欄,打開當前驅(qū)動器目錄列表(如圖23)。如果是STA串口硬盤的話,則選擇“sda”目錄,如果是普通IDE硬盤的話,則選擇“hda”目錄。雙擊打開目錄后,即可進入硬盤驅(qū)動器根目錄中,找到DLL木馬所在的文件夾路徑(如圖24),選擇要刪除的DLL木馬文件,點擊下方的“8 Delete”按鈕,彈出刪除文件提示對話框。點擊“Yes”,即可成功將DLL木馬文件刪除掉。
點擊SHELL窗口菜單“會話”→“新建Midnight Commander”命令,新建一個圖形化的會話標簽(如圖21)。雙擊其中的“UP-DIR”欄,返回上一層根目錄(如圖22)。雙擊其中的“/mnt”欄,打開當前驅(qū)動器目錄列表(如圖23)。如果是STA串口硬盤的話,則選擇“sda”目錄,如果是普通IDE硬盤的話,則選擇“hda”目錄。雙擊打開目錄后,即可進入硬盤驅(qū)動器根目錄中,找到DLL木馬所在的文件夾路徑(如圖24),選擇要刪除的DLL木馬文件,點擊下方的“8 Delete”按鈕,彈出刪除文件提示對話框。點擊“Yes”,即可成功將DLL木馬文件刪除掉。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161826151.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161826151.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161827833.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161827833.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161827239.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161827239.jpg" width=700 onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161827625.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161827625.jpg" width=700 onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
這個SHELL窗口操作文件還是很方便的,可以過濾顯示文件,進行各種文件和文件夾新建、刪除、復(fù)制、移動和查找等操作,甚至還可以進行刪除文件恢復(fù)、對比文件及同步文件等。
DLL注入型木馬并不會感染其它文件,只要結(jié)束木馬進程并刪除掉病毒文件木馬,木馬就無法死灰復(fù)燃了。有些注入“explorer.exe”進程的DLL木馬,在刪除后會出現(xiàn)無法顯示系統(tǒng)登陸對話框,或者登陸系統(tǒng)后沒有桌面的情況。此時依舊可以使用KV2007來進行修復(fù)。
在KV2007光盤引導(dǎo)殺毒界面中,點擊菜單“服務(wù)”→“系統(tǒng)修復(fù)”,在彈出對話框中可以選擇要修復(fù)的項目(如圖25)。另外,安裝了KV2007后,在進入系統(tǒng)登陸界面時,右上角處有一個“系統(tǒng)修復(fù)”按鈕,點擊該按鈕,也可以進行修復(fù)(如圖26)。
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/2007515161827630.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/2007515161827630.jpg" width=700 onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
![]()
=700) window.open('http://forum.jiangmin.com/UploadFile/2007-5/20075151618400.jpg');" src="http://forum.jiangmin.com/UploadFile/2007-5/20075151618400.jpg" width=700 onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
從木馬的整個清除過程中,我們不用利用其它任何工具,僅僅是利用殺毒軟件,就可以全面徹底地清除掉所有DLL注入式木馬。
