新型木马“代理木马”攻击原理与查杀

　　

　　

　　最近，有一种新型木马倍受瞩目，它不盗号，也不窜改首页，可一样能让你的电脑“痛不欲生”，这是怎么回事呢？

　　一般的木马的危害都是远程控制用户的电脑，伺机盗取用户的个人隐私数据，例如网游账号、QQ账号等，可目前网络中出现了一种特殊的木马——代理木马，如果用户的电脑中了该木马，电脑就会被木马控制，用来发动DDos攻击。

　　

什么是DDos？　　 　　DDos英文名是Distributed Denial of service ，意思是分布式拒绝服务攻击，通俗地说就是大量电脑同时向特定目标发送垃圾数据包，例如服务器、网站或者单台电脑，造成特定目标瘫痪。 　　DDos攻击危害很大，那应该如何抵御呢？要定期进行检测，寻找并排除潜在的全漏洞;为服务器配置硬件防火墙，可以很好地抵御DDos攻击;设置路由器，限制SYN/ICMP数据包的流量，也可以很好地降低DDos攻击的危害;通过Unicast Reverse Path Forwarding反查询攻击的IP地址源，屏蔽IP地址源。

　　代理木马是作恶手段剖析

　　代理木马主要通过网页挂马的方式传播，当它进入用户电脑后，就会释放.bat脚本文件，将自身拷贝到C:\Windows\system32目录，重命名为yxdwl.exe(图1)，需要注意的是不同变种生成的文件名可能不同，接着创建同名的系统服务指向这个文件，这样操作后，木马就可以随系统自启动了。

　　为了逃过杀毒软件的查杀，代理木马在程序入口处插入了花指令、通过寄存器EBX异或26的方法加密，经过变形和加密处理后的代理木马极难查杀。为了防止用户在任务管理器中发现端倪，它还将自身进程名改为svchost.exe，伪装成系统的进程。

　　编注：花指令(junk code) 意思是程序中一些由设计者特别设计的指令，希望使反汇编的时候出错，让破解者无法清楚正确地反汇编程序的内容，迷失方向。经典的是一些跳转指令，目标位置是另一条指令的中间，这样在反汇编的时候便会出现混乱。花指令有可能利用各种 jmp、call、ret以及一些堆栈技巧、位置运算运用等等。

　　做完这些，代理木马就会远程连接rj55.33**.org，下载其他病毒以及一个带有IP地址的数据包，接着木马就会不停地向该IP地址发送ping包，展开拒绝服务攻击，IP地址不是固定的，木马作者随时可以改变攻击目标。

　　查杀代理木马

　　系统比较慢，上网速度也慢下来，就有可能是中了代理木马，先调用杀毒软件，升级后在安全模式下全盘杀毒。如果杀毒软件无法清除该病毒，怎么办？

　　不妨使用安全辅助工具来清除该病毒，启动安全辅助工具后，扫描系统看看病毒对系统都做了什么，揪出病毒在系统中的藏身之处，然后根据扫描的结果修复系统。修复系统后，再用杀毒软件查杀残余的病毒文件，可以多试几款杀毒软件。

　　如果你有一定的安全基础或者病毒连安全辅助工具也查不出，不妨试试手动清除病毒。启动安全管理工具ATool【点击下载】，打开ATool，选择左侧的“进程管理”(图2)，在界面中可以看到被软件提示为危险的进程。

　　除了高亮显示的进程，再查看“发行商”、“概述”两项，是不是有信息为空的进程，如果有，也有可能是木马进程，再进一步判断该进程是不是与系统的进程同名、该进程是不是在任务管理器中看不到。一般来说，“发行商”、“概述”为空的进程都非常可疑，绝不是系统进程，不妨都先结束。

　　定位可疑的进程，在左侧点击“服务管理”查看系统服务(图3)，发现了两个高亮显示的可疑服务，选中这两个服务，点击右键选择“停止”，然后选择“删除”，接着在资源管理器中将C:\Windows\system32下的yxdwl.exe和Theurlwd.url删除，最后再重启电脑调用杀毒软件进行全盘查杀。

手机　诺基亚　MP5　电脑包　双卡双待　手机链　U盘　笔记本电脑 -->