【实例】用SSM对付狡猾木马 bbs.ikaka.com

baohe - 2006-8-25 17:59:00

常常见到因中毒后“杀不净”而前来求助的帖子。其中原因各式各样。常见的有：
（1）病毒进程不可见或无法结束；
（2）结束病毒进程后，病毒文件依然无法完全删除（插入了正常系统进程）。
（3）病毒添加的启动项无法删除，或删除后立即恢复（病毒/木马有注册表监控能力）。
今天，得到了一个木马样本，有些典型意义。现将其拿来解剖。以展示如何使用SSM杀死这类狡猾的木马。
这只木马运行后，其dll文件插入explorer.exe（资源管理器）进程（图1）。这是一种常见的把戏，颇另新手头痛！
只要你不关闭资源管理器，或用其它恰当手段卸除插入explorer.exe的lenveo.dll（木马的库文件），你就别想删除这个lenveo.dll！
结束explorer.exe？那你就对着一个空荡荡的桌面发傻吧！什么也做不了。

附件: 1558472006825175153.jpg

baohe - 2006-8-25 18:00:00

此外，这个木马还有注册表监控能力。只要你删除它的启动项，它就马上再添加上（图2）！
这些伎俩，足以使新手头大！

附件: 1558472006825175226.jpg

baohe - 2006-8-25 18:00:00

如果你有SSM，且已经将其设置为“自动运行”，那么，这只“狡猾”的木马就不再那么难缠。
操作流程：
1、在SSM的规则中禁止lenveo.exe加载（图3）。

附件: 1558472006825175258.jpg

baohe - 2006-8-25 18:01:00

2、在SSM的规则中禁止lenveo.dll加载（图4）。

附件: 1558472006825175325.jpg

baohe - 2006-8-25 18:02:00

3、重启系统。

4、收拾残局（图5）。

5、清理注册表。

附件: 1558472006825175403.jpg

炫Oo逍遥oO - 2006-8-25 18:05:00

又学习了``

现在进行时 - 2006-8-25 18:15:00

关闭explorer.exe用icesword删除lenveo.dll和lenveo.exe不行吗？

baohe - 2006-8-25 18:17:00

引用:

【现在进行时的贴子】关闭explorer.exe用icesword删除lenveo.dll和lenveo.exe不行吗？
………………

当然可以。
但新手用IceSword，有时会搞出乱子，有时会自己吓唬自己。总之，IceSword不适合新手用。

M4AI - 2006-8-25 18:25:00

请问.SSM这个软件..现在需要钱...
啊..有免费的吗???
老大..

IceSword的相关教程有嘛?
SSM的教程看看你写的那些,是否已经够用??

闪电风暴 - 2006-8-25 18:57:00

学习了

闪电风暴 - 2006-8-25 19:00:00

SSM好像在玩我们......
原来的SSM还显示API函数的具体调用.现在却不见了,取而代之的是"DLL注入""试图终止"等词语.单单说DLL注入的方法就有好几种:
挂钩GETMASSAGE注入,CreateRemoteThread注入,可是在新版SSM中却体现不出来...

PS:
是不是只有注册版才可以看出来啊??

闪电风暴 - 2006-8-25 19:03:00

这个木马已经不是盲目地,每秒写一个启动项了..

试验:用IceSword删除启动项,连SSM都觉察不出来.

122211231 - 2006-8-25 19:04:00

LZ给个SSM的下载地址吧

闪电风暴 - 2006-8-25 19:05:00

syssafety.com

dady欢欢 - 2006-8-25 19:08:00

学习了

710207 - 2006-8-25 19:50:00

学习!!

baohe - 2006-8-25 19:53:00

引用:

【122211231的贴子】LZ给个SSM的下载地址吧
………………

http://www.syssafety.com/files.html

baohe - 2006-8-25 20:28:00

引用:

【闪电风暴的贴子】这个木马已经不是盲目地,每秒写一个启动项了..

试验:用IceSword删除启动项,连SSM都觉察不出来.
………………

SSM并非监控整个注册表。比如，你想让SSM监控HKEY_CLASS_ROOT\CLSID，当删除CLSID中的任意一个键值时，SSM提示用户。那么你可以自己添加一条这样的规则（图）。

附件: 1558472006825202030.jpg

baohe - 2006-8-25 20:29:00

引用:
【闪电风暴的贴子】这个木马已经不是盲目地,每秒写一个启动项了..

试验:用IceSword删除启动项,连SSM都觉察不出来.

检验该规则的效果——

附件: 1558472006825202137.jpg

antivirusmas - 2006-8-25 20:56:00

学习

浅浅蓝 - 2006-8-25 23:17:00

用XP自带的组策略中的软件限制策略可以像ssm一样禁止病毒文件加载吧。

无限001 - 2006-8-25 23:53:00

好东西,学习!!

影子110 - 2006-8-26 8:55:00

我发现用SSM对注册表规则项的设置也可以实现对注册表的完全监控~~
只不过不适合平时用,(太烦~~一会就要提示)

只需将那几个根键设置添加进去就好了,并且是所有子键下的*值~~(千万不能把这几个设为禁止写入,禁止删除,禁止创建~~,)

闪电风暴 - 2006-8-26 9:41:00

在证据:
图:

附件: 422471200682693355.jpg

闪电风暴 - 2006-8-26 9:42:00

图2:对REGEDIT的监控有效

附件: 422471200682693531.jpg

闪电风暴 - 2006-8-26 9:44:00

图3:无法拦截IS对注册表启动项的修改.

附件: 422471200682693628.jpg

闪电风暴 - 2006-8-26 9:49:00

即使这样:
也不行

附件: 422471200682694131.jpg

闪电风暴 - 2006-8-26 9:54:00

照旧:

附件: 422471200682694621.jpg

闪电风暴 - 2006-8-26 9:59:00

终止EXPLORER后也可进行文件操作:

任务管理器,新键任务,浏览...

附件: 422471200682695117.jpg

breach - 2006-8-26 10:22:00

引用:

【闪电风暴的贴子】图3:无法拦截IS对注册表启动项的修改.

………………

我也测试下，情况的确像闪电风暴所说的那样，IS对注册表启动项的修改（删除也一样），SSM没有任何的反应。IS对注册表启动项的修改、删除可能是从底层进行的吧。

瑞星卡卡安全论坛