DLL木马依靠DLL文件作恶。木马运行时,进程列表中不会出现新的进程,很多DLL木马被插入到系统的关键进程中(无法终止)。即使能被杀毒软件检测到,也无法查杀,对系统安全造成极大威胁。
如果你手头没有杀马利器,我们也可以抢office Excel来个肉搏战。让我们来看看我们如何使用Excel来处理这个插入lsass.exe进程的木马!
第一步:找到被感染的进程。
最近上网一段时间后,感觉网速特别慢,就运行' netstat -a -n -o '检查打开的端口和连接。由进程PID 580发起的连接非常可疑:状态为已建立。
表示两台机器正在通信(参见图1)。通过任务管理器,我们可以知道这个进程是lsass.exe。根据过程的解释,lsass.exe是微软Windows系统的一种安全机制,用于本地安全和登录策略。
很明显,这个进程不需要开放端口和外部连接,所以判断这个进程很可能是插入了一个DLL木马。如果牧马人当前没有连接,还可以通过端口状态判断是否成功,比如TIME_WAIT表示结束连接。
说明端口被访问过,但是访问结束了,说明有黑客入侵了这台机器。监听就是监听,等待连接,但还没有连接,只有TCP协议的服务端口可以处于监听状态。
提示:判断自己是否中招的前提是搞清楚被感染的过程。根据被插入进程的类别,DLL木马大致可以分为:
1.插入常见的进程,比如Notepad.exe和Iexplorer.exe(这类木马的判断很简单,开机后不会启动任何程序。如果打开任务管理器发现以上流程,可以判断已经中招)。
2.插入系统进程,比如Explorer.exe和lsass.exe(因为每台电脑开机后都有上述进程,所以可以通过看端口和进程本身的特征来判断。
例如,lsass.exe、winlogon.exe和explorer.exe的这台机器不会打开端口连接)。
3.对于开放端口的进程,如alg.exe、svchost.exe,需要通过连接状态、IP连接、调用DLL等综合判断。
第二步:追踪木马的真凶。
知道了DLL木马中插入的进程,我们就可以通过对比进程调用的DLL模块来辨别。
1.在其他普通计算机上启动命令提示符运行' tasklist /m /fo list G:dll1.txt '以列表形式输出当前进程加载的所有dll文件。
然后打开DLL.txt,复制lsass.exe加载的DLL文件列表(见图2)。
2.打开Excel,将正常电脑和中国lsass.exe电脑加载的DLL文件复制到A列和b列,因为Excel有序列号,所以很容易发现两个lsass.exe加载的DLL文件数量不同(64和68)。
现在将B列的字体设置为红色,将B列的内容剪切粘贴到A列,点击Excel的ldquo数据/分类rdquo数据重新排序后,木马文件在一个连续的红色DLL文件中,与前一个不同。
分别是mswsock.dll、PSAPI。DLL、wshtcpip.dll、share.dll。
提示:
如果不能确定是哪个进程插入了木马,可以先输出所有的DLL文件,然后在Excel中进行排序并与正常的DLL文件进行对比,再逐个找出新增的DLL文件。
第三步:删除木马文件。
从上面我们可以知道,DLL木马就在上述四个多余的文件中,现在我们可以通过搜索功能找到这些文件(DLL文件大多在系统目录中,所以这里可以限定搜索范围)。
最后,通过查看属性发现真正的凶手是C:windowssystem32share.dll。现在进入安全模式删除share.dll,然后找到木马的合作伙伴,并根据其创建时间和大小删除它。
一般微软系统DLL文件都有版本标签,文件日期大多相同,可以通过这些属性判断。
提示:对于插入记事本、IE、explorer.exe等进程的dll木马,可以在进程终止后直接删除dll木马。
第四步:做好备份,防患于未然。
相对来说,这种情况下判断被插入木马的系统进程比较容易,但是判断被插入系统本身并且有开放端口的进程就比较困难,比如svchost.exe。因此,我们通常使用Tasklist命令对常见的系统进程DLL文件进行良好的备份。
这样你就可以在怀疑自己中招的时候重启关闭任何无关的程序,然后通过Excel排序快速找到木马的真凶!
注意:系统中有多个svchost.exe进程,但是它们的进程pid不同,所以需要单独备份。
