本文轉(zhuǎn)自：電腦報

　　安全診所的值班醫(yī)生張帆，正在查詢一些資料。這時推門進入一位病人。病人稱他最近一段時間，很多和自己相關(guān)的網(wǎng)絡(luò)賬戶都被盜了，想讓醫(yī)生看看是什么原因。

　　張帆醫(yī)生詢問患者有沒有安裝殺毒軟件。患者稱自己安裝的殺毒軟件是最新版本的卡巴斯基，不但每天準(zhǔn)時更新病毒庫，并且還打上了系統(tǒng)的所有補丁。

　　聽了病人的講述，張帆醫(yī)生說：在排除系統(tǒng)漏洞情況下，能夠繞過卡巴斯基的防御的木馬就只有Evilotus。

　　Evilotus木馬檔案

　　Evilotus木馬是由“一步江湖”推出的一款國產(chǎn)木馬程序。這款全新的木馬程序不但采用了反彈連接、線程插入、服務(wù)啟動等成熟的木馬技術(shù)，而且還有一些獨創(chuàng)的木馬技術(shù)。比如它具有SSDT恢復(fù)功能，通過它可以輕松繞過卡巴斯基的防御功能，實現(xiàn)了對卡巴斯基殺毒軟件的免疫。

　　連接端口無法躲避

　　張帆醫(yī)生明白，所有的木馬只要成功的進行連接，接收和發(fā)送數(shù)據(jù)則必然會打開系統(tǒng)端口，就是說采用了線程插入技術(shù)的木馬也不例外。他準(zhǔn)備通過系統(tǒng)自帶的netstat命令查看開啟的端口。

　　為了避免其他的網(wǎng)絡(luò)程序干擾自己的工作，首先將這些程序全部關(guān)閉，然后打開命令提示符窗口。張帆醫(yī)生在命令行窗口中輸入“netstat -ano”命令，這樣很快就顯示出所有的連接和偵聽端口。張醫(yī)生在連接列表中發(fā)現(xiàn)，有一個進程正在進行對外連接，該進程的PID為1872(圖1)。

　　順藤摸瓜查找木馬

　　由于已經(jīng)獲得了重要的信息內(nèi)容，現(xiàn)在我們運行木馬輔助查找器，點擊“進程監(jiān)控”標(biāo)簽，通過PID值找到可疑的Svchost進程。

　　選中該進程，在下面的模塊列表查找，很快就找到了一個既沒有“公司”說明，也沒有“描述”信息的可疑DLL文件，因此斷定這個就是木馬服務(wù)端文件(圖2)�？吹皆撃抉R使用了線程插入技術(shù)，并且插入的是系統(tǒng)的Svchost進程。

　　順利找到木馬程序的進程以后，張醫(yī)生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統(tǒng)檢測工具，依次點擊“啟動項目→服務(wù)→Win32 服務(wù)應(yīng)用程序”按鈕。

　　在彈出的窗口中選擇“隱藏微軟服務(wù)”選項后，程序會自動的屏蔽掉發(fā)行者是Microsoft的項目，很快醫(yī)生就發(fā)現(xiàn)一個和木馬文件名稱相同的啟動服務(wù)(圖3)，因此斷定這就是木馬的啟動項。

　　清除木馬不過如此

　　在木馬輔助查找器的“進程監(jiān)控”標(biāo)簽中，通過PID值找到被木馬程序利用的Svchost進程，選中它，點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標(biāo)簽中的“后臺服務(wù)管理”選項，在服務(wù)列表中找到木馬的啟動項，選擇“刪除服務(wù)”按鈕即可。

　　現(xiàn)在打開注冊表編輯器，接著點擊“編輯”菜單中的“查找”命令，在彈出的窗口中輸入剛剛查找到的木馬文件名稱，當(dāng)查找到和木馬文件名稱相關(guān)的項目后進行修改或刪除(圖4)。最后我們進入系統(tǒng)的System32目錄中，將和服務(wù)端相關(guān)的文件刪除即可完成服務(wù)端的清除工作。