对付假扮系统服务木马的有效解决办法

有些木马为了免遭杀毒软件的查杀，经常将自己摇身一变，扮成系统服务，让其随系统启动自动运行，不知不觉地长久控制你的机器。让我们以牙还牙，来驱赶险恶的“后门服务”。

　　小知识 什么是服务

　　服务是一种应用程序类型，它在后台运行。要管理系统服务，请运行services.msc，打开“服务”对话窗口，这里可以看到当前系统中的所有服务。双击某一服务，在弹出的“属性”对话框的“常规”选项页中的“服务状态”栏可以看到此服务当前状态。单击“启动类型”下拉菜单，可以将该服务设置为自动启动、手动启动或禁用。

　　有道是:知己知彼方能百战百胜，要想应付这类木马，就得知道它是如何变脸为服务，来长期潜伏作恶的。一般说来，根据木马变脸的方法不同，通常可以从两方面去做相应防范:

　　一、小心Windows成为木马的帮凶

　　Windows的“服务”工具是不能添加/删除服务的，但可以利用Windows提供的资源工具包中的Instsrv.exe和Srvany.exe来实现。其中，Instsrv.exe可以给系统安装和删除服务，Srvany.exe可以让程序以服务的方式运行。

　　★变脸原理

　　第一步:报户口——注册服务名称

　　这里就以建立一个名为explorer的服务为例来说明，首先将Instsrv.exe和Srvany.exe存放到一个比较方便的地方，建议放到系统安装目录中(笔者的Windows XP安装目录为D:\Windows)。运行cmd.exe，进入“命令提示符”窗口，执行命令:cd d:\Windows，进入系统安装目录。运行命令:

　　Instsrv explorer d:\Windows\srvany.exe

　　好了，这条命令的成功运行，已经在系统中注册了一个名叫explorer的服务，快到“服务”中看看一下检验检验吧!

　　小提示

　　★注册服务:instsrv :这里的可任意取名，前面必须带上该文件的绝对路径，如:D:\Windows\srvany.exe。

　　★删除服务:instsrv remove

　　第二步:找关联——后门服务要让explorer服务正常运行，还必须在注册表中指定该服务对应的应用程序。运行Regedit.exe，打开“注册表编辑器”，依次展开如下子键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]，在该子键下找到并右击explorer(对应前面建立的服务名)，选择“新建”下的“项”，将其命名为Parameters。单击选定它，在右侧窗口中新建一个名为Application的字符串值，将其数值数据设置为explorer服务对应的应用程序绝对路径，比如:d:\Windows\gboor.exe。接着再新建两个字符串值:AppDirectory和AppParameters，AppDirectory指定程序所在的目录，AppParameters指明程序运行的参数(注意:可以不用设值)，如图1所示，最后关闭注册表编辑器。

　　接下来打开“服务”窗口，找到刚添加的explorer服务，打开其属性对话框，单击切换到“登录”选项页，在“登录身份”中选中“本地系统账户”，如图2，如果不想让服务在运行的时候弹出状态窗口，请不要勾选“允许服务与桌面交互”复选项，单击“确定”返回。至此，explorer服务已经全部配置好了。

　　最后，右击该服务，选择“启动”，这样该程序就会启动，而且以后也会在系统启动时自动以服务形式运行!小提示

　　也可以通过命令来启动服务:net start explorer。

　　★赶走“后门服务”没商量

　　弄清了木马变服务的伎俩，解决起来就不难了。如果发现系统出现异常，可以到“服务”窗口中进行查看，一旦发现这种恶意的“后门服务”，驱鬼的也仅仅是两步:①停止服务。所用的命令是:net stop 服务名称，例如:net stop explorer。②彻底删除伪服务，把这些险恶的“后门服务”赶出家门，命令为:instsrv.exe 服务名称 remove，例如:nstsrv.exe explorer remove。

　　二、小心木马变服务的始作俑者

　　有些木马利用一款名为AppToService的小软件来变服务。该软件可以将任何应用程序作为 NT系统的服务来运行，而且操作起来更简单。

　　★变脸原理

　　安装好AppToService V2.7后，直接双击运行桌面上的快捷方式AppToService，即可按相应的提示进行操作。

　　举个例子，如果想要把程序d:\Windows\gdoor.exe添加成服务，并将其“服务类型”设置为“自动”，只要运行命令:Apptoservice /install /absname:"bd" /startup:A "d:\Windows\gdoor.exe"，就可成功新建bd服务。启用服务的方法相同即net start bd。

　　★以牙还牙制服“后门服务”

　　如果发现一些木马借AppToService变脸为服务，可以运行如下命令来停止全部AppToService服务:AppToService /StopAll。接着再来删除它，要删除某一服务，请运行命令:AppToService /Remove 当前已存在的某个服务名称，比如:AppToService /remove bd，删除全部AppToService服务的命令为:AppToService /RemoveAll。

　　小提示

　　AppToService服务指的是所有通过AppToService添加的服务，不是指系统原有服务。

　　怎么样?知道了木马变服务的真实内幕了吧，相信有了上面的知识，再遇到后门服务，应该是手到擒来了吧!

　　声明:本文分析木马变服务过程，仅为了找出相应的防范办法。切勿模仿!