ＰｃＳｈａｒｅ木馬看你往哪里藏

如今，電腦用戶面臨的最大威脅，除了“熊貓燒香”這樣的惡意病毒之外，就要屬各種各樣的木馬后門程序了。雖然殺毒軟件也能檢測到某些木馬的存在，但是由于木馬本身自我防護(hù)能力的增強，因此常常出現(xiàn)能檢測但不能有效查殺的情況。

最近，筆者在無意間發(fā)現(xiàn)PCD刊登了一篇利用軟件漏洞捉肉雞的文章(編者注：即本刊2007年第20期中《(暴風(fēng)影音Ⅱ)助我傳播木馬》一文)，文章中使用了最新的PcShare木馬。由于平時筆者對各種木馬病毒小有研究，因而趕緊下載了它進(jìn)行測試。經(jīng)過測試，筆者發(fā)現(xiàn)新版PcShare木馬的數(shù)據(jù)傳輸依然是利用HTTP隧道技術(shù)，但其服務(wù)端更小巧了，在受害電腦中的隱蔽性也大大增強了。它能將自身插入到系統(tǒng)進(jìn)程svchost.exe中，用戶很難發(fā)覺。再加上它采用了特有的隱藏驅(qū)動，因此清除也非常困難(大名鼎鼎的3721就是用的隱藏驅(qū)動，其清除的麻煩性可想而知)。

如何發(fā)現(xiàn)PcShare木馬

首先，運行《冰刃》這款安全工具(即IceSword，由于它使用了大量新穎的內(nèi)核技術(shù)，因而可以使電腦中隱藏的PcShare木馬無處可躲)。然后，關(guān)閉系統(tǒng)中所有的網(wǎng)絡(luò)軟件，以免網(wǎng)絡(luò)數(shù)據(jù)干擾相關(guān)的檢測工作。最后，點擊《冰刃》功能區(qū)中的“端口”按鈕，發(fā)現(xiàn)其中只有一條正在連接的數(shù)據(jù)項，其進(jìn)程正是svchost.exe，連接的端口也正好是HTTP隧道技術(shù)所用的80端口(注：黑客也可能自定義其他端口)。因此可以斷定，有PcShare木馬插入了svchost.exe進(jìn)程，筆者記下其PID值1784(如圖1)。

下面，點擊功能區(qū)中的“進(jìn)程”按鈕，找到PID為1784的進(jìn)程，再點擊鼠標(biāo)右鍵中的“模塊信息”項，在彈出窗口中查找PcShare木馬插入的模塊信息。筆者在這里果然發(fā)現(xiàn)了一個名為zrpimlek.dll的木馬模塊(如圖2)，同時在“內(nèi)核模塊”中也發(fā)現(xiàn)了zrpimlek.sys內(nèi)核模塊，在“服務(wù)”中發(fā)現(xiàn)了zrpimlek木馬啟動服務(wù)(注：“zrpimlek”字樣可隨機變化，但這三者始終同名)。哈!這TPcShare木馬就被徹底挖出來了。

我們還是用《冰刃》來進(jìn)行清除工作。

首先，打開其菜單“文件”一“設(shè)置”，將“禁止進(jìn)線程創(chuàng)建”和“禁止協(xié)件功能”項選中。這樣可以防止PcShare木馬的自我保護(hù)功能讓它再生。

然后，在《冰刃》功能區(qū)的“進(jìn)程”中，用鼠標(biāo)右鍵結(jié)束PcShare木馬所利用的svchost.exe進(jìn)程。進(jìn)入系統(tǒng)System32文件夾，將隱藏的zrpimlek.dll文件及其drivers子文件夾中的zrpimlek.sys文件刪除。

最后，通過《冰刃》的注冊表編輯功能來結(jié)束木馬的啟動服務(wù)。筆者在注冊表中分別找到如下鍵值并將它們刪除。重啟電腦后，隱藏的PcShare木馬就被完全清除了。

從最近不斷曝光的病毒事件及新聞中我們不難發(fā)現(xiàn)，殺毒軟件不是萬能的，因此掌握一些簡單的手工清除技巧，對自己的電腦有好處。