有些木马为了免遭杀毒软件的查杀,经常将自己摇身一变,扮成系统服务,让其随系统启动自动运行,不知不觉地长久控制你的机器。让我们以牙还牙,来驱赶险恶的“后门服务”。
小知识 什么是服务
服务是一种应用程序类型,它在后台运行。要管理系统服务,请运行services.msc,打开“服务”对话窗口,这里可以看到当前系统中的所有服务。双击某一服务,在弹出的“属性”对话框的“常规”选项页中的“服务状态”栏可以看到此服务当前状态。单击“启动类型”下拉菜单,可以将该服务设置为自动启动、手动启动或禁用。
有道是:知己知彼方能百战百胜,要想应付这类木马,就得知道它是如何变脸为服务,来长期潜伏作恶的。一般说来,根据木马变脸的方法不同,通常可以从两方面去做相应防范:
一、小心Windows成为木马的帮凶
Windows的“服务”工具是不能添加/删除服务的,但可以利用Windows提供的资源工具包中的Instsrv.exe和Srvany.exe来实现。其中,Instsrv.exe可以给系统安装和删除服务,Srvany.exe可以让程序以服务的方式运行。
★变脸原理
第一步:报户口——注册服务名称
这里就以建立一个名为explorer的服务为例来说明,首先将Instsrv.exe和Srvany.exe存放到一个比较方便的地方,建议放到系统安装目录中(笔者的Windows XP安装目录为D:\Windows)。运行cmd.exe,进入“命令提示符”窗口,执行命令:cd d:\Windows,进入系统安装目录。运行命令:
Instsrv explorer d:\Windows\srvany.exe
好了,这条命令的成功运行,已经在系统中注册了一个名叫explorer的服务,快到“服务”中看看一下检验检验吧!
小提示
★注册服务:instsrv :这里的可任意取名,前面必须带上该文件的绝对路径,如:D:\Windows\srvany.exe。
★删除服务:instsrv remove
第二步:找关联——后门服务
要让explorer服务正常运行,还必须在注册表中指定该服务对应的应用程序。运行Regedit.exe,打开“注册表编辑器”,依次展开如下子键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services],在该子键下找到并右击explorer(对应前面建立的服务名),选择“新建”下的“项”,将其命名为Parameters。单击选定它,在右侧窗口中新建一个名为Application的字符串值,将其数值数据设置为explorer服务对应的应用程序绝对路径,比如:d:\Windows\gboor.exe。接着再新建两个字符串值:AppDirectory和AppParameters,AppDirectory指定程序所在的目录,AppParameters指明程序运行的参数(注意:可以不用设值),最后关闭注册表编辑器。
接下来打开“服务”窗口,找到刚添加的explorer服务,打开其属性对话框,单击切换到“登录”选项页,在“登录身份”中选中“本地系统账户”,如果不想让服务在运行的时候弹出状态窗口,请不要勾选“允许服务与桌面交互”复选项,单击“确定”返回。至此,explorer服务已经全部配置好了。
最后,右击该服务,选择“启动”,这样该程序就会启动,而且以后也会在系统启动时自动以服务形式运行!
小提示
也可以通过命令来启动服务:net start explorer。
★赶走“后门服务”没商量
弄清了木马变服务的伎俩,解决起来就不难了。如果发现系统出现异常,可以到“服务”窗口中进行查看,一旦发现这种恶意的“后门服务”,驱鬼的也仅仅是两步:①停止服务。所用的命令是:net stop 服务名称,例如:net stop explorer。②彻底删除伪服务,把这些险恶的“后门服务”赶出家门,命令为:instsrv.exe 服务名称 remove,例如:nstsrv.exe explorer remove。
二、小心木马变服务的始作俑者
有些木马利用一款名为AppToService的小软件来变服务。该软件可以将任何应用程序作为 NT系统的服务来运行,而且操作起来更简单。
★变脸原理
安装好AppToService V2.7后,直接双击运行桌面上的快捷方式AppToService,即可按相应的提示进行操作。
举个例子,如果想要把程序d:\Windows\gdoor.exe添加成服务,并将其“服务类型”设置为“自动”,只要运行命令:Apptoservice /install /absname:"bd" /startup:A "d:\Windows\gdoor.exe",就可成功新建bd服务。启用服务的方法相同即net start bd。
★以牙还牙制服“后门服务”
如果发现一些木马借AppToService变脸为服务,可以运行如下命令来停止全部AppToService服务:AppToService /StopAll。接着再来删除它,要删除某一服务,请运行命令:AppToService /Remove 当前已存在的某个服务名称,比如:AppToService /remove bd,删除全部AppToService服务的命令为:AppToService /RemoveAll。
小提示
AppToService服务指的是所有通过AppToService添加的服务,不是指系统原有服务。
怎么样?知道了木马变服务的真实内幕了吧,相信有了上面的知识,再遇到后门服务,应该是手到擒来了吧!
声明:本文分析木马变服务过程,仅为了找出相应的防范办法。切勿模仿!
您当前的位置:
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀数十万种木马,拥有海量木马病毒库,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰
卡巴斯基单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序,时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术