潜谈如何清除万分可恶的SVCHOST宿主木马

科技网编2023-03-04 14:281980

前些天听到一个笑话~ 某个外籍牛人~听说中国黑客很NB 于是准备黑几个中国标志性网站,长长自己威风,刚刚随意打开几个中国不入流的小广告链接~ 浏览器中了十几个流氓插件........老外气得吐血~

   如今网络环境状况之差自然不必我多说,一接到internet可以说是十面埋伏~ 据说某联盟的黑客在黑市上交易用于Dos攻击的“肉鸡”(被远程控制的互联网用户)每个仅有9分钱!这又是何等凄凉,难道我等菜鸟非要任人鱼肉!好了 闲言少许,步入正题。

   关于SVCHOST宿主木马:

   有许多木马在运行后,将自身挂接到SVCHOST.EXE服务中,比较难以识别,SVCHOST.EXE服务有时真叫人无奈!

  vchost.exe是NT内核操作系统(Windows 2000/XP/2003都属于NT内核操作系统)独有的进程,“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。

  那为什么系统进程列表中的Svchost.exe会有多个呢?微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个Svchost.exe进程可以包含一组服务,Windows XP中默认共有六组服务,其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的 Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”。

  当然了,这六组服务通常并不都是启动状态的,根据系统启动的服务不同,反映在系统进程列表中的Svchost.exe进程数量也是不同的, Windows XP会有四个到六个Svchost.exe进程,而Windows 2000通常则会有两个Svchost.exe进程。

  由于Svchost.exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost.exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑用户。那么如何判断系统中的多个Svchost.exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。

  在这里推荐一款新出的查杀木马流氓软件的专业安全工具AST超级巡警! 那么ast是如何对付与Svchost.exe相关的病毒的骗局呢

  骗局1:利用假冒Svchost.exe名称的病毒程序

    火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,针对这种情况可以使用超级巡警进程管理功能直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的 Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在 Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。

  骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:

   * 添加一个新的服务组,在组里添加病毒服务名

   * 在现有的服务组里直接添加病毒服务名

   * 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序

  针对这种情况,使用超级巡警的进程管理中的显示服务映射模块功能,列出所有的启动DLL模块,然后根据模块到服务管理中进行具体分析,即可解决。

  未来版本将提供针对模块的自动安全性分析功能。

  下载:超级巡警ast最新下载地址

评论区