最近,有一种新型木马倍受瞩目,它不盗号,也不窜改首页,可一样能让你的电脑“痛不欲生”,这是怎么回事呢?
一般的木马的危害都是远程控制用户的电脑,伺机盗取用户的个人隐私数据,例如网游账号、QQ账号等,可目前网络中出现了一种特殊的木马——代理木马,如果用户的电脑中了该木马,电脑就会被木马控制,用来发动DDos攻击。
小知识:什么是DDos?
DDos英文名是Distributed Denial of service ,意思是分布式拒绝服务攻击,通俗地说就是大量电脑同时向特定目标发送垃圾数据包,例如服务器、网站或者单台电脑,造成特定目标瘫痪。
DDos攻击危害很大,那应该如何抵御呢?要定期进行检测,寻找并排除潜在的全漏洞;为服务器配置硬件防火墙,可以很好地抵御DDos攻击;设置路由器,限制SYN/ICMP数据包的流量,也可以很好地降低DDos攻击的危害;通过Unicast Reverse Path Forwarding反查询攻击的IP地址源,屏蔽IP地址源。
代理木马是作恶手段剖析
代理木马主要通过网页挂马的方式传播,当它进入用户电脑后,就会释放.bat脚本文件,将自身拷贝到 C:Windowssystem32目录,重命名为yxdwl.exe,需要注意的是不同变种生成的文件名可能不同,接着创建同名的系统服务指向这个文件,这样操作后,木马就可以随系统自启动了。
为了逃过杀毒软件的查杀,代理木马在程序入口处插入了花指令、通过寄存器EBX异或26的方法加密,经过变形和加密处理后的代理木马极难查杀。为了防止用户在任务管理器中发现端倪,它还将自身进程名改为svchost.exe,伪装成系统的进程。
编注:花指令(junk code) 意思是程序中一些由设计者特别设计的指令,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是一些跳转指令,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。花指令有可能利用各种 jmp、call、ret以及一些堆栈技巧、位置运算运用等等。
做完这些,代理木马就会远程连接rj55.33**.org,下载其他病毒以及一个带有IP地址的数据包,接着木马就会不停地向该IP地址发送ping包,展开拒绝服务攻击,IP地址不是固定的,木马作者随时可以改变攻击目标。
查杀代理木马
系统比较慢,上网速度也慢下来,就有可能是中了代理木马,先调用杀毒软件,升级后在安全模式下全盘杀毒。如果杀毒软件无法清除该病毒,怎么办?
不妨使用安全辅助工具来清除该病毒,启动安全辅助工具后,扫描系统看看病毒对系统都做了什么,揪出病毒在系统中的藏身之处,然后根据扫描的结果修复系统。修复系统后,再用杀毒软件查杀残余的病毒文件,可以多试几款杀毒软件。
如果你有一定的安全基础或者病毒连安全辅助工具也查不出,不妨试试手动清除病毒。启动安全管理工具ATool【点击下载】,打开ATool,选择左侧的“进程管理”,在界面中可以看到被软件提示为危险的进程。
除了高亮显示的进程,再查看“发行商”、“概述”两项,是不是有信息为空的进程,如果有,也有可能是木马进程,再进一步判断该进程是不是与系统的进程同名、该进程是不是在任务管理器中看不到。一般来说,“发行商”、“概述”为空的进程都非常可疑,绝不是系统进程,不妨都先结束。
定位可疑的进程,在左侧点击“服务管理”查看系统服务,发现了两个高亮显示的可疑服务,选中这两个服务,点击右键选择“停止”,然后选择“删除”,接着在资源管理器中将C:Windowssystem32下的yxdwl.exe和 Theurlwd.url删除,最后再重启电脑调用杀毒软件进行全盘查杀。