对“广外女生”木马的分析与对策.pdfVIP

对 广外女生 木马的分析与对策 李震平 (河北工程大学信电学院计算机基础部056001 nlzp@163.com 摘 要 广外女生 是一个功能强大的国产木马程序 具有特殊的感染机理和自我安全保 障功能 为了保障计算机的系统安全和用户信息安全 通过深入的分析和研究 发现其在后 台运行时 实时监测其在注册表中的注册信息 防止用户修改 且其服务器程序与.EXE 和.COM 文件相关联 防止用户终止其服务器程序等 本文阐明了该木马的特征和感染机理 最终给出了彻底清除的详细操作方法 亦为开发针对其的专杀工具提供了依据 关键词 广外女生 感染机理 木马 病毒 清除方法 1 引言 近几年 由于Internet 的广泛应用 计算机病毒的发展也早已由过去的单机危害 过度 到目前主要以网络为媒介的网络危害 在新形势下尤以 木马 类病毒的危害最为严重 它 在监听受感染用户的系统时 不仅可以一览无余地浏览用户硬盘资料 而且可以监视用户操 作 更为可怕的是其极有可能窃取用户的各种帐号和密码 例如用户的银行卡在网上使用 时 给受感染用户造成更加严重的损失 木马――其实质只是一个网络客户/服务程序 网络客户/服务模式的原理是一台主机提 供服务 称为服务器 即受感染用户系统 另一台主机接受服务 称为客户机 即用于监 听的系统 作为服务器的主机一般会打开一个默认的端口并进行监听 Listen 如果有客 户机向服务器的这一端口提出连接请求 Connect Request 服务器上的相应程序就会自动 运行 来应答客户机的请求 在此类病毒中 即有赫赫有名的国产 冰河 广外女生 也有小有名气的 初恋 情人 网络精灵 最近本人不幸感染到了 广外女生 也曾到Internet上查找到一些清 除该 木马 程序的相关资料 然而 却没有一份资料能够完全清除 要么其会死灰复燃 要么计算机无法使用 所幸的是 经过本人分析研究后发现 网上的一些分析存在严重的不 完善 因而处理的结果可想而知 下面就将本人对 广外女生 木马的感染机理及清除方法 介绍如下 1 2 感染及作用机理 2.1 服务器程序存放位置 系统感染此木马后 其将会在系统的System 目录下生成一份自己的拷贝 请查System 目 录及图1注册表文件位置 名称为Diagcfg.exe 在Windows环境下 此程序已经在进程中 因此无法清除 在Dos下虽然可以清除 但会引起 后遗症 请看以下几条 图1 2.2 服务器程序关联EXE 文件 如图2 图3所示 该木马在注册表的两个位位置均进行了EXE文件关联 这说明 当 Diagcfg.exe被删除后 在Windows环境下将导致所有的EXE文件无法运行 2.3 服务器程序关联COM 文件 如图4 图5所示 该木马在注册表中不仅进行了EXE文件关联 而且同时在两个位置均 进行了COM文件关联 这说明 当Diagcfg.exe被删除后 在Windows环境下将同时导致所有 的COM文件无法运行 这也是该木马更新后的进步 导致一些介绍资料的清除手段无法实 现的要害之处 2.4 小结 经过以上分析 我们不难发现 该 木马 程序在运行期间无法删除 势必有些人会想 到进入Dos环境后删除 这样会导致两个问题将要面对 一个是重新进入Windows后导致所 有程序无法运行 另一个已经无法找回Diagcfg.exe 也就失去了 带病工作 的机会 因此 在使用 删除 功能时一定要谨慎行事 完全可以换成 更名 Rename 命令 以防万一