只需一招 手無寸鐵輕易清除“dll后門木馬”
一直以來,我們都認為木馬是以exe結尾的可執行文件,只要不運行exe為后綴的文件就可以了。但如果木馬都這么容易辨別,那就不能稱為木馬了。事實上有很多木馬都不是以exe為后綴的,例如著名的后門木馬工具bits,就是一款dll后門,整個后門程序只有一個dll文件,但卻可以實現非常恐怖的效果。那么dll后門木馬是如何運作的?我們又該如何清除dll后門木馬呢?請看本文。
★dll后門木馬的來歷
dll(DynamicLinkLibrary)即系統的動態鏈接庫文件。dll文件本身并不可以運行,需要應用程序調用。當程序運行時,Windows將dll文件裝入內存中,并尋找文件中出現的動態鏈接庫文件。dll后門木馬實際就是把一段實現了木馬功能的代碼加上一些特殊代碼寫成dll文件。我們都知道正在運行的程序是不能關閉的,而dll后門木馬會插入到這個應用程序的內存模塊中,因此同樣同樣無法刪除,這就是dll后門木馬的高明之處。
dll后門木馬通常只有一個文件,依靠動態鏈接程序庫,由某一個EXE作為載體,或者使用Rundll32.exe來啟動,插入到系統進程中,達到隱藏自身的目的。因此dll后門木馬在隱藏技術上比普通木馬有了質的飛躍,當然危害性也就大大增加了。
dll后門木馬的運作方式
dll后門木馬的危害主要分為兩方面:1.隱蔽性,由于其可以“寄宿”于任一應用程序的進程,包括系統進程,因此我們很難發現其存在。2.難刪除:上文中我們提到被dll后門木馬插入的進程是無法結束的,因此要想清除并不容易。
我們來結合實際看看dll后門木馬的使用和運作過程。bits是一款著名的dll后門木馬,其具備了dll后門木馬的所有特點,沒有進程,也不開啟端口,認為:隱蔽性很強,是dll后門木馬的代表。
bits的安裝
bits只有一個dll文件——bits.dll。點擊“開始”→“運行”,輸入“rundll32.exebits.dll,install<123456>”即可成功讓bits進駐系統。
▲安裝bits
bits的使用
假設運行bits的計算機IP地址為192.168.0.1,黑客可以使用一款網絡工具nc,在“命令提示符”中運行nc后輸入命令“nc192.168.0.180”。回車后會發現沒有回顯,此時我們需要輸入”才能命令bits。這條命令的作用是綁定一個shell到本機的777端口,此時黑客再連接目標主機的777端口就可以在目標計算機上執行任意命令了。一般的dll后門木馬都需要類似的安裝和使用,認為:雖然比普通木馬要來得麻煩,但是威力是相當大的。
▲連接bits開啟后門
清除木馬
bits的清除還是比較簡單的,首先運行注冊表編輯器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters,將ServiceDll的鍵值更改為“%SystemRoot%System32\rasauto.dll”即可,然后將系統目錄system32文件夾下的bits.dll刪除即可。
▲清除bits
dll后門木馬的防范
1、當系統存在問題時,我們可以查看進程中的dll文件,找出隱藏在其中的dll后門木馬。查看進程中的dll文件可以使用Windows優化大師的進程管理功能,點擊進程后,在下方會出現該進程中包含的dll文件,如果是系統進程,那么其dll文件的發行商都應該是“Microsoft”,否則就很有可能是dll后門木馬。找到dll后門木馬后將進程結束,再根據路徑將dll后門木馬刪除即可。
2、及時更新殺毒軟件。dll后門木馬雖然和普通木馬不同,但仍舊是木馬,還是可以被殺毒軟件查殺的,只要我們及時升級殺毒軟件病毒庫,對防范dll后門木馬還是有很大幫助的。
【編輯推薦】
