流螢?zāi)抉R是什么

字號:

流螢?zāi)抉R是一款全新的國產(chǎn)反彈型木馬程序,它的特點就是服務(wù)端小巧,僅有36KB的大小。它的服務(wù)端程序之所以小巧,完全是因為它的服務(wù)端程序僅僅是一個“下載者”程序。當(dāng)這個“下載者”程序安裝到系統(tǒng)以后,才會將真正的服務(wù)端程序安裝到系統(tǒng)之中,這也就是中招后系統(tǒng)出現(xiàn)假死的主要原因。另外該木馬可以調(diào)用包括IE瀏覽器在內(nèi)的眾多系統(tǒng)進程,并且服務(wù)端程序運行十分穩(wěn)定,客戶端程序可以同時對幾個服務(wù)端進行操作。
    隱私大白天下
    今天,萬大夫接待了這樣一位病人。來者自稱姓馬,他稱早上一個好友打來電話,聲稱在一個論壇發(fā)現(xiàn)了自己和我女朋友的照片,這些照片并不是自己上傳上去的。聽病人講到這里,萬大夫心里對情況已經(jīng)有了大致的了解。
    接著萬大夫一邊聽著病人的描述,一邊進行著詳細的記錄。病人告訴萬大夫說:元旦前一天上午有一段時間,系統(tǒng)好像假死一樣不能操作,不過硬盤卻一直在狂轉(zhuǎn),好像在下載什么東西。
    接著出現(xiàn)一個IE瀏覽器的連接網(wǎng)絡(luò)的提示框,重新啟動后不久又出現(xiàn)其他系統(tǒng)進程的連接窗口。自己怕麻煩就同意通過了,結(jié)果自己的照片就被偷了。通過病人的敘述,萬大夫基本上可以肯定這款木馬就是現(xiàn)在網(wǎng)絡(luò)中活動異常猖獗的“流螢”木馬。
    螢的隱身術(shù)
    當(dāng)萬大夫確診病情以后,就開始準備進行治療了。首先萬大夫從系統(tǒng)的啟動項著手,準備從中找到木馬程序的啟動項。萬大夫首先選擇查看系統(tǒng)啟動項的佼佼者AutoRuns,點擊AutoRuns的“用戶”選項選擇用戶,接著就會在主界面中將啟動項和進程全部顯示出來。點擊操作界面的“全部”標(biāo)簽,這樣系統(tǒng)的所有啟動項就一目了然了。
    經(jīng)過認真檢查,萬大夫很快就在系統(tǒng)服務(wù)啟動項中發(fā)現(xiàn)一個可疑的啟動項。它之所以引起大夫的注意,并不是它的啟動名稱,而是因為它在列表中的“說明”和“發(fā)行商”兩項都沒有任何的標(biāo)注,而正規(guī)的軟件程序在這兩項中都會有標(biāo)注。可是該文件也沒有進行偽裝,這不像是黑客慣用的伎倆???
    接著萬大夫再來看看系統(tǒng)中有沒有可疑的進程,他使用的是Process Explorer.該軟件可以讓用戶了解看不到的那些在后臺執(zhí)行的程序進程,通過它能顯示目前已經(jīng)載入的程序模塊、程序所調(diào)用的 DLL進程等。Process Explorer的特色就是可以結(jié)束任何進程,甚至包括系統(tǒng)的關(guān)鍵進程都可以結(jié)束。
    首先我們應(yīng)該了解,進程分為兩種。一種是系統(tǒng)進程,即System進程樹下的所有進程;一種是普通進程,即在Explorer進程樹下的所有進程。對于那些擁有獨立進程的木馬程序,使用Process Explorer很容易就能發(fā)現(xiàn)的。經(jīng)過認真查看,在System進程樹下發(fā)現(xiàn)了一個名為FireFly.exe的可疑進程,正好這個可疑進程和那個可疑的啟動項是聯(lián)系到一起的?! ‖F(xiàn)在大夫來進行木馬程序的清除工作。首先在Process Explorer的System進程樹下,找到FireFly.exe這個可疑進程,然后點擊右鍵菜單中的“終止進程”按鈕將該進程結(jié)束。再切換到AutoRuns窗口,在系統(tǒng)服務(wù)中找到該木馬的啟動項Remote Control,同樣點擊鼠標(biāo)右鍵中的“刪除”命令即可刪除該啟動項。
    由于AutoRuns的刪除是直接對注冊表進行操作的,沒有辦法自動恢復(fù),所以用戶不要看到什么使人生疑的東西就刪除。如果僅僅是懷疑的話,用的時候把啟動項前面的鉤去掉就可以了。最后來到磁盤的C:Program Files irefly-remote文件夾下,將整個文件夾刪除即可。
    由于流螢是一款木馬程序,所以它主要是通過網(wǎng)頁木馬、文件捆綁等主要方式進行傳播的。但是人們往往忽略這些環(huán)節(jié)而“大意失荊州”,以至于在個人信息受到威脅時后悔莫及。從整個木馬清除過程來看,最簡單的可疑程序檢測方法就是參看這些文件的“說明”和“發(fā)行商”有沒有具體的內(nèi)容。如果發(fā)現(xiàn)某些文件沒有這些內(nèi)容的介紹,那么首先就需要對它們進行重點檢查。
    除此之外我們知道,現(xiàn)在很多具有遠程控制功能的軟件,自身都帶有一個“/u”的卸載參數(shù),運行后服務(wù)端就可以完全卸載。以后遇到可疑文件就可以用這個參數(shù)來試著卸載,流螢的服務(wù)端也可以采用這種方式進行卸載。