前一段时间Sony的CD反盗版保护RootKit被Sysinternals的Mark揭露后,在网上吵的沸沸扬扬,国外杀毒厂商也说 已利用了Sony的Rookit漏洞,
RootKit木马的亲密接触WEB安全
。本人前几天在一朋友的机器上发现了一个类似的木马,现把此木马的发现和删除过程与大家分享,木马技术也发展到了驱动级,希望大家提高防范意识,现在的网络真的是太不安全了。我的安全意识还是比较强的,使用别人机器上网前都会用procexp(http://www.sysinternals.com/Files/ProcessExplorerNt.zip)查看一下有没有可疑的进程,用Autoruns(http://www.sysinternals.com/Files/Autoruns.zip)查看有没有可疑的启动项,检查未发现异常,开始上网,上了一会,关闭IE,准备关机。不经意间在防火墙网络访问信息中发现有iexplorer.exe访问网络,并且一会又消失了,因为我已经关闭了所有的IE窗口,所以这引起了我得注意。我马上打开procexp查看,但我并未发现那个iexplorer.exe,难道是防火墙误报,我下载了一个TcpView(http://www.sysinternals.com/Files/TcpView.zip),果然看到一个在进程列表中不存在的IE进程不停的访问网络。
如图:
这时我确定机器肯定中了木马,那个木马又是怎么启动的呢,我打开Autoruns仔细查找启动项,但找不到。此时我确认机器中了一个比较难缠的木马,我下载了RootkitRevealer(http://www.sysinternals.com/Files/RootkitRevealer.zip) 进行查找,果然不出所料,机器上有几个注册表隐藏项,和文件隐藏项
如图:
到问题所在就好办了,打开IceSword (http://xfocus.net/tools/200509/IceSword_en1.12.rar),马上看到了那个IE进程
如图:
驱动注册表隐藏项,如图:
文件隐藏项,若图:
删除驱动文件,重启计算机,病毒进程立即现身,如图:
RootkitRevealer还报RPCSS服务的注册表一项被隐藏,因为驱动已经删除,再此打开注册表,木马更改的项马上现身了,若图:
将Rpcss服务的注册表项改回初始值,如图,重启问题搞定
总结:此木马为驱动级木马,底层勾了ntoskrnl.exe导出函数,实现进程隐藏,文件隐藏,
电脑资料
《RootKit木马的亲密接触WEB安全》(http://meiwen.anslib.com)。zwvmlmtz.dll:替换Rpcss服务的DLL,实现自启动功能(Rpcss服务是系统重要服务),调用驱动。
zwvmlmtz.sys:挂接系统函数,隐藏自己的注册表项,隐藏Rpcss改动的注册表项(通过regedit查询到的值不准确),隐藏文件,把自己伪装为IE进程(防火墙一般默认IE进程访问网络自动放行的)。
zwvmlmtz.d1l:木马作者真正用意所在模块。
补充1:若只删除问题文件,不把rpcss服务的DLL改回初始值会导致Rpcss服务无法启动的。
补充2:木马作者也许没有在XP系统测试,此木马在XP系统驱动无法加载,rpcss替换DLL也有问题。本文中计算机系统为win2K。