斩于马下挑战木马克星Ewido显神威

发布者: 佚名 2011年12月06日围观次点赞:0

“救命啊！”宿舍的哥们大叫一声，将正在QQ上泡MM的我惊醒，原来是他的电脑中了不知名的木马！这小子跑来恳求我出手救助一下他的爱机，看着他眼泪汪汪的样子，也担心木马会感染整个宿舍局域网，因此不得已暂时告别了MM……

    一、木马克星遇克星

    原来哥们在浏览XX网页时碰到一个网站弹出窗口，显示“在你的电脑里检测到16处错误，如果想修复请点继续”。于是他就点了继续，一步一步被引导着下载安装了一个叫做Errorguard的软件……

    居然中了这么低等级的招数，这哥们的智商被我严重鄙视！无奈，拿出了常用的木马查杀软件“木马克星”，开始对他的系统扫描查杀。谁知木马克星是查出了5个木马，可是只能查不能杀，看来木马克星今天也遇到克星了（如图1）。

斩于马下挑战木马克星Ewido显神威
图1

    二、“免费”的Ewido

    哥们的电脑上安装了诺顿和AVG，用来查杀一下，居然也不能清除木马！无计可施的情况下，上网搜索下载了一个号称全球第一的木马查杀软件Ewido Security Suite Plus V4.0绿色免安装版。
小提示最新的Ewido Security Suite Plus V4.0是英文界面的，网上有V3.5版的汉化版本，不过V4.0版的功能更为强大得多，因此这里使用最新版。

    下载后直接解压，然后执行文件夹中的“ewido.exe”文件运行程序，在界面中立刻显示出红色的提示，要求立即更新病毒库。点击红色的“Update now”链接（如图2），开始升级。

斩于马下挑战木马克星Ewido显神威
图2三、注册激活实时监控

    升级有点慢，先熟悉一下软件界面吧！在界面顶部是一排功能按钮，点击“Status”可以切换回刚才主界面。在主界面下方有一个“Enter license code”按钮，是用来注册的。未注册版本是不能开启实时监控功能的，为了保证哥们的电脑在查杀过程中不再出现什么意外，点击了“Resident shield”后面的“Change state”按钮，将当前状态改为“active”监控激活状态。

    四、升级分两步

    点击界面上方的激活按钮切换回“Update”页面，发现病毒库下载完毕了，但是要完成升级的话还需要手工安装病毒库。此时显示“Ready for update”，点击界面中的“Start update”按钮，即可开始进行升级（如图3）。在下方的“Automatic Update”（自动升级）项中，勾选“Download and install updates automatically……”（下载并自动进行病毒库安装升级）；在“updates interval”（升级间隔时间）中可设置每隔多少时间进行自动升级。设置完毕后，以后就会自动在后台进行病毒库更新与安装了。

图3

    小提示升级完成后，还要再进行一次注册，否则刚才注册会失效。

    五、强劲查毒，揪出黑手

    现在病毒库是最新的了，开始启动Ewido查杀系统中的木马。

    1.全面扫描

    点击“Scanner”按钮，切换到扫描页面。在这里提供了多种扫描方式，包括“Complete System Scan”（全面系统扫描）、“Fast System Scan”（快速系统扫描）、“Registry Scan”（注册表扫描）、“Memory Scan”（内存扫描）和“Custom Scan”（定制扫描）等（如图4）。因为系统中现在已经中了木马，所以必须进行一次彻底清除工作，点击“Complete System Scan”按钮，展开扫描选项卡开始进行病毒扫描。

图42.扫描设置

    由于是全面扫描，因此需要的时间会很长，在扫描的同时切换到“Settings”（扫描设置）选项卡，查看扫描设置（如图5）。在“How to act？”（如何处理病毒文件）中，可以设置检测到木马后默认的处理动作。点击“Recommend actions”（默认操作），在弹出菜单中选择“Quarantine”（隔离）命令，将在检测到木马后自动对其进行隔离操作。

图5

    仔细看了一下“How to Scan”中的设置项，惊喜的发现了Ewido功能的强大之处，不仅可以扫描捆绑文件、未知病毒、加壳的木马等，还可以检测出NTFS数据流木马！这些功能一会儿测试吧！在“Possibly unwanted software”（不需要的附加软件）项中，使用默认的设置选项，可以全面的查杀流氓广告、有危险的Cookies信息和一些可疑的拨号连接。在“What to Scan”中，可设置扫描的文件类型。为了保险起见，直接就选择了“Scan every file”（扫描所有文件）；如果想加快扫描速度，只扫描某几个文件类型的话，可勾选“Choose files by extension”（通过后缀名指定要扫描的文件），并添加文件类型。

    小提示：在这里笔者又发现了一个小惊喜，文件类型中有asp/cgi/php，也就是说可以扫描网页木马文件！

    3.木马大清除

    返回扫描界面，发现竟然扫描出了20多个木马，这其中当然有刚才木马克星无能为力的，也有木马克星检测不出来的木马！毫不犹豫的在“Action”中将处理操作改成“Delete”（如图6），直接将木马删除掉，然后点击“apply all acions”（执行所有操作）按钮，很快检测出来的木马都被删除掉了。不过又弹出一个提示窗口，显示其中一个木马文件无法删除，这下我有些纳闷了，难道这些木马采用了特殊保护技术，DLL注入？还是进程守护？

图6

    4.揪出木马进程

    怎么办呢？仔细查看了一下软件界面，看到上面有一个功能按钮“Analysis”(分析），点击后切换到木马分析页面，看到这里有许多木马分析小工具。先看看端口吧，选择“Connections”选项卡，在这里查看到所有网络连接开放端口。

    小提示：在“Analysis”页面中，“Processes”项可以查看和结束木马进程；“Autostart”可管理系统自启动项目；“Browser Plugins”项可管理删除加载到IE浏览器中的流氓插件。连接太多了，于是关闭了QQ、IE所有网络连接，终于发现了可疑的连接——“explorer.exe”本来是资源管理器的进程，竟然对外连接了一个远程主机地址（如图7）！

图7

    小提示要快速的找到木马连接，可勾选下方的“Hide local connections”（隐藏本地连接），只显示对外的远程连接。

    确定木马是采用DLL注入的方式，通过资源管理器进行启动和保护的了。于是选择该进程，先点击“Terminate connections”（关闭连接），断开与远程主机的连接，再点击“Terminate Applications”（终止进程），将木马插入的进程结束掉。再返回刚才的木马扫描页，就可以成功删除刚才无法操作的木马文件了！

    另外，值得一提的是笔者还用Ewido扫描出了自己网站服务器上其他人上传的ASP木马后门（如图8）。大家有兴趣的话，还可以看看“Tools”功能页中，也能发现更多的惊喜哦！

图8