■

IE為何自動(dòng)連接網(wǎng)絡(luò)

某次筆者撥號(hào)上網(wǎng)后，當(dāng)正在使用世界之窗瀏覽器上網(wǎng)時(shí)，安裝的某款防火墻彈出提示信息，顯示Internet Explorer試圖連接網(wǎng)絡(luò)，詢問是否對(duì)其放行。因?yàn)楣P者并沒有啟動(dòng)IE，而是使用別的瀏覽器訪問網(wǎng)絡(luò)，考慮到可能是系統(tǒng)自身的原因，筆者重啟系統(tǒng)。但是當(dāng)撥號(hào)上網(wǎng)之后，過了一段時(shí)間IE又試圖訪問Internet。這就很奇怪了，筆者斷網(wǎng)后使用某免費(fèi)殺毒軟件對(duì)系統(tǒng)進(jìn)行了細(xì)致的掃描，奇怪的是并沒有發(fā)現(xiàn)什么異常。雖然殺毒軟件沒有發(fā)現(xiàn)問題，不過筆者憑經(jīng)驗(yàn)判斷可能有不法程序在后臺(tái)作祟。

看來單純依靠殺毒軟件未必絕對(duì)可靠，筆者運(yùn)行XueTR這款強(qiáng)悍的安全工具，來查找潛伏的木馬。在其主界面中打開“網(wǎng)絡(luò)”面板，在其中的“端口”面板中執(zhí)行刷新操作，可以看到當(dāng)前活動(dòng)的所有網(wǎng)絡(luò)程序，包括其打開的端口、連接的遠(yuǎn)程地址、連接狀態(tài)、進(jìn)程路徑等信息。經(jīng)過仔細(xì)觀察，發(fā)現(xiàn)與IE進(jìn)程對(duì)應(yīng)的協(xié)議類型是UDP。也就是說潛藏的木馬居然開啟了UDP端口。在通常情況下，不管是正常的網(wǎng)絡(luò)程序，還是木馬程序采用的都是TCP協(xié)議?？紤]到木馬啟動(dòng)往往會(huì)通過非法添加服務(wù)的形式加載，筆者決定先對(duì)系統(tǒng)服務(wù)進(jìn)行檢查。在“我的電腦”圖標(biāo)的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，在計(jì)算機(jī)管理窗口左側(cè)選擇“服務(wù)和應(yīng)用程序”-“服務(wù)”項(xiàng)，在右側(cè)窗口中顯示所有的系統(tǒng)服務(wù)。經(jīng)過查找，在其中發(fā)現(xiàn)了名為“PrtSQx”的可疑服務(wù)，雙擊該服務(wù)，在其屬性窗口中發(fā)現(xiàn)與其關(guān)聯(lián)的程序?yàn)椤癈:Windowssystem32sapoolsv.exe”?？磥?，必須將該不法服務(wù)清除才行。

在CMD窗口中執(zhí)行“sc stop prtsqx” 和“sc delete prtsqx”命令，就可以將該服務(wù)停止并刪除了。雖然將可疑服務(wù)清除，不過上述情況并沒有消除。由此推斷，木馬一定是注入到了IE進(jìn)程中。在XueTR主界面中的“進(jìn)程”面板中選擇“iexplorer.exe”進(jìn)程，在其右鍵菜單單上點(diǎn)擊“查看進(jìn)程模塊”項(xiàng)，在彈出窗口中顯示IE中加載的所有DLL模塊，果然在其中發(fā)現(xiàn)了“sol.dll”文件十分可疑，其路徑為“C:Program FileInternet Explorer”。在該DLL文件右鍵菜單上點(diǎn)擊“卸載模塊”項(xiàng)，將其卸載掉。之后在XueTR的“文件”面板中分別找到上述“sapoolsv.exe”和“sol.dll”文件并將其徹底刪除，之后重啟系統(tǒng)，問題消失。經(jīng)過分析，該UDP木馬可能經(jīng)過了免殺處理，因此可以逃避殺毒軟件的檢測，因其采用UDP協(xié)議，所有隱蔽性很強(qiáng)。

識(shí)別真假撥號(hào)程序

筆者的好友使用的是電信寬帶，使用電信提供的撥號(hào)軟件上網(wǎng)。某次當(dāng)筆者和朋友邊上網(wǎng)邊聊天時(shí)，偶然打開任務(wù)管理器發(fā)現(xiàn)同時(shí)存在兩個(gè)相同的撥號(hào)程序“ghcadailui.exe”。筆者覺得有些奇怪，就隨手啟動(dòng)Wsyschk這款小工具，對(duì)其進(jìn)行了一番檢測，卻意外地發(fā)現(xiàn)了其中的貓膩。在“進(jìn)程管理”面板中選中一個(gè)撥號(hào)程序，在窗口底部列表中顯示其加載的所有模塊信息，其中的“avicap32.dll”看起來很熟悉。該文件實(shí)際上是用于捕捉視頻信息的，一般安裝攝像頭的話，就需要該文件來捕捉視頻數(shù)據(jù)。不過，這對(duì)于正常的撥號(hào)程序來說，并沒有什么實(shí)際用途。

因?yàn)槭菗芴?hào)軟件，只需要一個(gè)撥號(hào)程序即可，這個(gè)多余的撥號(hào)進(jìn)程肯定存在問題。進(jìn)入撥號(hào)軟件安裝路徑，發(fā)現(xiàn)其主 文 件 為“ghcadailui.exe”，大小為4M左右。在其中仔細(xì)查看，發(fā)現(xiàn)還有一個(gè)名為“ghcadailui”的文件很奇怪，其大小為1.2MB左右。據(jù)此不難推斷出該可疑程序的活動(dòng)特點(diǎn)，一定是先將原撥號(hào)程序“ghcadailui.exe”更 名 為“ghcadailui”，然后將自身更名為“ghcadailui.exe”，運(yùn) 行 自身后然后再啟動(dòng)原撥號(hào)程序。對(duì)比這兩個(gè)同名但擴(kuò)展名不同的文件，發(fā)現(xiàn)兩者的圖標(biāo)完全一樣，看來該“ghcadailui.exe”文件其實(shí)是一個(gè)木馬程序，并且經(jīng)過了巧妙的偽裝，冒充正常程序在用戶眼皮下活動(dòng)。筆者關(guān)閉了這兩個(gè)撥號(hào)進(jìn)程，之后將虛假的“ghcadailui.exe”文件備份后刪除。將“ghcadailui” 文 件 還 原 為“ghcadailui.exe”，經(jīng)過運(yùn)行可以正常撥號(hào)上網(wǎng)，這就證實(shí)了筆者的猜測。這個(gè)“ghcadailui”文件才是真正的撥號(hào)程序。

雖然將假冒的撥號(hào)軟件清除，不過筆者決定這個(gè)冒牌貨進(jìn)行一番研究，了解其特點(diǎn)。運(yùn)行PE explorer這款資源編輯軟件，分別打開真假“ghcadailui.exe”文件，來觀察其內(nèi)部結(jié)構(gòu)，從中不難看到，真實(shí)的“ghcadailui.exe”文件內(nèi)部結(jié)構(gòu)完整，包括菜單、位圖、對(duì)話框、字符串、圖標(biāo)、版本、界面等等資源項(xiàng)目，而假冒的“ghcadailui”文件內(nèi)部則顯得很簡陋，只包括位圖、圖標(biāo)等很少的資源。該機(jī)上安裝有360安全衛(wèi)士，打開其流量監(jiān)控程序，發(fā)現(xiàn)假冒的“ghcadailui”程序開啟了UDP端口，啟動(dòng)WsockExpert程序，對(duì)其進(jìn)行抓包分析，發(fā)現(xiàn)其每隔一段時(shí)間就向外界某個(gè)地址發(fā)送一次UDP數(shù)據(jù)包，但是攔截的數(shù)據(jù)包明顯經(jīng)過加密處理，無法洞悉其具體內(nèi)容，經(jīng)過連續(xù)的檢測，發(fā)現(xiàn)該UDP木馬開啟的UDP端口并不是固定的，而是隨機(jī)變化的。該木馬似乎很智能，會(huì)針對(duì)常用的軟件對(duì)自身進(jìn)行偽裝，通過對(duì)進(jìn)程信息進(jìn)行分析判斷，來決定是否啟動(dòng)木馬程序。該木馬程序“ghcadailui.exe”看起來體積有4.2MB，不過使用WinHex等工具將其打開后，發(fā)現(xiàn)其中存在大片的空白區(qū)域，真實(shí)的體積實(shí)際上很小?？磥?，該木馬采用增大自身體積的方法，來逃避殺毒軟件的追捕。

根據(jù)以上分析可以看出，該UDP木馬使用了UDP協(xié)議，得以避開殺毒軟件的監(jiān)控，因?yàn)槌Ｓ玫陌踩浖急容^重視TCP端口，對(duì)隱蔽開啟的UDP端口警惕度不足。該木馬通過將自身偽裝成正常軟件（例如撥號(hào)程序等），并和其綁定在一起，起到讓人真假難辨的目的，而沒有采取修改注冊表，添加服務(wù)等常規(guī)手段，讓人難以發(fā)現(xiàn)其行蹤。該木馬通過對(duì)自身名稱和圖標(biāo)進(jìn)行偽裝，來冒充正常的文件。并且對(duì)正常文件進(jìn)行修改，實(shí)現(xiàn)先啟動(dòng)木馬程序再啟動(dòng)正常軟件的目的，其活動(dòng)并不影響正常軟件的運(yùn)行，這是其顯著特點(diǎn)。不過這一特點(diǎn)也恰恰是其最薄弱的環(huán)節(jié)，有經(jīng)驗(yàn)的用戶會(huì)通過檢測文件信息的方法，來發(fā)現(xiàn)其存在。從中可以看出，木馬為了逃避檢測，入侵的手段日益隱蔽和狡詐。所以同這類木馬進(jìn)行斗爭。需要采取相應(yīng)的對(duì)象。

例如，查看相關(guān)進(jìn)程加載的DLL模塊，看是否存在可疑模塊（例如非視頻程序卻加 載“avicap32.dll”等），由此可以發(fā)現(xiàn)木馬蹤跡。使用Restorator、PE explorer等資源編輯工具打開可疑文件，查看其內(nèi)部資源結(jié)構(gòu)，如果體積較大的文件內(nèi)部資源很少，就說明其存在很大的疑點(diǎn)。相反，如果程序內(nèi)部資源豐富細(xì)致，表明其不太可能是木馬。

深入分析揪出潛伏者

當(dāng)筆者在單位維護(hù)網(wǎng)絡(luò)時(shí)，當(dāng)?shù)卿浤撑_(tái)服務(wù)器時(shí)，在該機(jī)安裝的防火墻軟件提示某個(gè)陌生的程序試圖連接外網(wǎng)某個(gè)地址的29838端口，同時(shí)試圖掃描局域網(wǎng)其它主機(jī)的445等端口，同時(shí)該開啟了UDP 4910端口。因?yàn)樵摍C(jī)之前處于等待登錄狀態(tài)，雖然沒有登錄系統(tǒng)，但是從網(wǎng)絡(luò)上已經(jīng)可以訪問。而且在該狀態(tài)下，系統(tǒng)的安全狀態(tài)實(shí)際上處于最低的水平。運(yùn)行IceSword這款安全工具，在其進(jìn)程列表中搜索一番，發(fā)現(xiàn)名為“taskdll.exe”的進(jìn)程頗為可疑。其路 徑 位 于“C:WindowsSystem32”。但是在資源管理器中進(jìn)入該路徑，卻沒有發(fā)現(xiàn)該文件?？磥?，該可疑程序已經(jīng)采用了RootKit等技術(shù)，對(duì)自身進(jìn)行了隱藏。不過，使用該機(jī)上安裝的SpeedCommander這款強(qiáng)悍的文件管理工具，卻讓該可疑程序露了原形。在SpeedCommand采用雙頁面文件管理方式，查找文件很輕松。進(jìn)入上述路徑，果然發(fā)現(xiàn)了這個(gè)可疑文件。筆者將其復(fù)制了出來。到了這一步，只需將該可疑進(jìn)程關(guān)閉，同時(shí)將其刪除，并掃除對(duì)應(yīng)的啟動(dòng)項(xiàng)，就可以將其驅(qū)逐出去，

不過，為了了解該可疑文件的具體功能，筆者決定對(duì)其進(jìn)行一番測試研究。實(shí)際上，該可疑程序是一款UDP木馬。因?yàn)槠鋾?huì)連接Internet上某個(gè)地址，筆者直接對(duì)該地址進(jìn)行了在線檢測，發(fā)現(xiàn)其位于外省某個(gè)城市。在CMD窗口中執(zhí)行“telnet xxx.xxx.xxx.xxx 29838”，居然出現(xiàn)“StnyFTPD”等字樣，看來該地址上開啟了小型的FTP服務(wù)，看來該木馬內(nèi)部隱藏有對(duì)應(yīng)的賬戶名和密碼，可以遠(yuǎn)程登錄到該FTP服務(wù)器上，之后可以將被控機(jī)的敏感數(shù)據(jù)遠(yuǎn)程發(fā)送給黑客。運(yùn)行PEiD這款分析工具，在其主界面中的“文件”欄中點(diǎn)擊瀏覽，選擇該可疑文件，發(fā)現(xiàn)其是由VC6.0開發(fā)的。在窗口底部顯示“FSG”等字樣，這表明其使用了FSG壓縮技術(shù)，真正的木馬程序其實(shí)包含在FSG構(gòu)建的外殼中。因?yàn)镻EiD已經(jīng)自帶了針對(duì)該外殼的處理插件，因此毫不費(fèi)力的去掉了其外殼，得到了真實(shí)的木馬文件。

使用WinHex這款編輯工具打開該木馬文件，在窗口左側(cè)顯示其十六進(jìn)制代碼，在右側(cè)顯示對(duì)應(yīng)的真實(shí)編碼。經(jīng)過仔細(xì)分析，從中看出該木馬擁有的“本領(lǐng)”還不少。例如，在其中看到 了“Msxxxx”“TFTP”、“XP_cmdshell”、“IPC$”、“Admin$system32” 等 字樣，表示其利用某些系統(tǒng)漏洞，SQL漏洞、IPC$連接等手段，對(duì)局域網(wǎng)中的其它主機(jī)進(jìn)行破壞和滲透，完成病毒的掃描、復(fù)制以及傳播動(dòng)作。在可以識(shí)別的編碼中，還可以看到該木馬附帶了很多文件參數(shù)。因?yàn)閃inHex反編譯的功能有限。于是筆者運(yùn)行C32ASM這款反編輯軟件，在其主界面中點(diǎn)擊“Ctrl+O”鍵，選擇該木馬文件，對(duì)其進(jìn)行反編譯處理。這樣，木馬的代碼就更容易分析了。

在其中從上到下仔細(xì)查看，陸續(xù)發(fā)現(xiàn)了“RPC_D C O M ”、“e x p l o i t”、“ms11046”等字樣，這表明其使用了一些溢出工具對(duì)系統(tǒng)盡心破壞，來獲得更高運(yùn)行權(quán)限，這表明該木馬采用TFP工具來傳輸數(shù)據(jù)，同時(shí)試圖使用SQL 注入技術(shù)進(jìn)行滲透。在對(duì)應(yīng)的模塊中還可以看到有關(guān)的掃描信息。筆者注意到其中包括“syn”、“ack”等字眼，表示該木馬自帶有DDOS拒絕攻擊模塊，并且擁有攻擊統(tǒng)計(jì)功能。此外，C32ASM還顯示該木馬中自帶了大量的掃描參數(shù)。經(jīng)過深入分析，發(fā)現(xiàn)該木馬對(duì)各種可能的異常情況處理得很完善，可以看到詳細(xì)的關(guān)于木馬運(yùn)行情況的判斷語句。該木馬不僅具有傳播功能，還具有升級(jí)功能，可以從指定的地址下載升級(jí)數(shù)據(jù)，對(duì)自身進(jìn)行完善，在木馬的文件管理模塊中，發(fā)現(xiàn)其可以查看驅(qū)動(dòng)器容量。

不過筆者感興趣的是其遠(yuǎn)程FTP登錄的賬戶和密碼究竟是什么，于是繼續(xù)查看其代碼，在“220 stnyFtpd owns j0x0A”顯示登錄信息，之后執(zhí)行登錄驗(yàn)證模塊，在其后跟隨一個(gè)跳轉(zhuǎn)指令，可能是賬戶名認(rèn)證失敗則跳轉(zhuǎn)到預(yù)設(shè)地址。在其附近顯示“ftpuser0”字樣，有可能是FTP賬戶名。之后跟隨的代碼是驗(yàn)證密碼的，如果驗(yàn)證失敗，就跳轉(zhuǎn)到別的位置。根據(jù)提示信息，密碼是“pass0”。如果認(rèn)證完全通過，就可以執(zhí)行數(shù)據(jù)傳輸操作了。并對(duì)磁盤盤符進(jìn)行了列舉操作，可以探測從A到Z所有盤符，其支持的PASV模式。在文件結(jié)尾處顯示“[LOGS]:Cleared”字 樣，顯示了清除相關(guān)日志文件操作。在文件最后顯示可能是有關(guān)作者的名稱代碼和問候語等。綜合以上分析，該木馬的功能很“全面”，采用多種入侵技術(shù)，可以對(duì)局域網(wǎng)其它主機(jī)進(jìn)行滲透，使其得以傳播到所有主機(jī)上。而且該病毒體積只有幾百KB，運(yùn)行很穩(wěn)定，占用系統(tǒng)資源極低，具有很強(qiáng)的隱蔽性。該木馬潛伏在系統(tǒng)中，可以悄無聲息地執(zhí)行盜取數(shù)據(jù)、刺探信息等操作。如果不仔細(xì)檢測，恐怕很難發(fā)現(xiàn)其行蹤。因?yàn)榫钟蚓W(wǎng)其它主機(jī)都安裝有防火墻等安全軟件，雖然該木馬并沒有對(duì)局域網(wǎng)造成大的危害，但是其滲透和破壞力卻不可小覷。及時(shí)發(fā)現(xiàn)和清除該類潛伏能力強(qiáng)而且功力較強(qiáng)的UDP木馬，可以最大限度地保護(hù)系統(tǒng)安全。