隐蔽性较高、插入正常进程运行的木马/后门越来越多。遇到这类木马,有时用杀软也不能立即搞掂。怎么办?
我的习惯是用SSM解决问题。
SSM的全称为:System Safety Monitor,即:系统安全监控器。这个工具已经是“多国语言”版,支持简体中文。下载地址:
http://www.syssafety.com/files.html。
SSM的使用确实比PG稍复杂些,但还算一个简单、易用的工具。如果你的IQ高于正常人,半天就能学会SSM的使用;如果你的IQ在“普通人”的水平,2-3天也能掌握它;如果你的IQ略低于“普通人”的水平,但还不属于“弱智”,花一周左右的时间,也能用它解决一些常见的问题了。
不少人不会(或不善)用SSM解决问题,其实不是其IQ偏低,而是“懒惰成性”,总是指望用杀软一下就将木马灭掉。这个帖子不是给这类人看的,我也不打算与这类人辩论“杀软是干什么的”、“XX杀软是否垃圾”、“如何向杀软商索赔”等问题。如果你将SSM理解为“运行后就能杀死那些该死的病毒/木马”的工具,那么,您就大错特错了。SSM根本就不是杀软!对于那些不愿意自己动手的的人,这个工具基本没用。还是早早卸载了好。
这个论坛里有个帖子,是我做的几个SSM操作的动画,可供初学者参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7781820。
下面,以一个较隐蔽的后门为例,说明用SSM搞掂它的具体过程。
这个后门运行后,SSM并不能发现其文件创建、注册表改动等行为。但是,SSM的进程列表中可发现异常的浏览器进程和异常DLL模块加载(图1)。我用OPERA浏览器,但此时,OPERA并未打开。
遇到这类怪事,应追究具体原因。
右击这个DLL,查看其“属性”(图2)——更加可疑(正常的文件都有“版本”标签,而它没有!);文件创建日期也是最近的。
右击SSM“规则”面板,自己添加一条规则,禁止这个DLL加载运行。
添加上述规则时,意外发现同一路径下还有一个server.exe文件(图3),创建日期与上面那个DLL相同。再添加一条规则,禁止server.exe加载运行。
规则添加完后,务必点击面板下方的“应用设定”(图4)。否则,你就瞎忙活了!
还要核实一下图5所示的复选框是否勾选了(需勾选)。
下一步:将SSM设置为“自动启动”(图6),也就是“系统启动时,SSM自动加载运行”。
最后,重启系统,这个后门就被废掉了。尽管后门的.exe、.dll文件还未删除,注册表项也未清理;但只要你的SSM能随系统启动加载运行,这个后门已经没用了。
至此,只剩下了打扫垃圾的问题了。自己清扫一下,就全部搞掂了。
图1
图2
图3
图4
图5
图6
