¿Quién ha visto un virus imposible de matar?
Virus DLL típicos
Descubrimiento y eliminación de troyanos DLL
Compruebe siempre si hay elementos inexplicables en los elementos de inicio. Aquí es donde está el cargador. Mientras maten al lobo, Ao ya no podrá estar loco. El troyano DLL en sí es más difícil de encontrar. Debe tener ciertos conocimientos de programación y habilidades de análisis para encontrar el nombre de la DLL en el cargador o ver qué DLL desconocidas están adjuntas al proceso. Es más difícil Ah, es más difícil, así que el método más simple es: software antivirus y firewall (no es una panacea, no lo tomes por mucho tiempo).
Ejemplos de detección y eliminación de troyanos DLL
Guardian (NOIR-QUEEN) es un programa troyano DLL típico. Su servidor se inserta en el Lsass.exe del sistema en forma de archivo DLL. En proceso. El proceso Lsass.exe es un servicio de autorización de seguridad local y generará un proceso para los usuarios autorizados que utilizan el servicio Winlogon. Si la autorización se realiza correctamente, Lsass generará el token de entrada del usuario. Dado que Lsass.exe es un proceso clave del sistema y no se puede finalizar, ¿cómo eliminamos dichos troyanos?
Después de que el troyano Guardian invada el sistema, agregará un servicio llamado "QoSserver" al servicio e insertará el archivo "QoSserver.dll" en el proceso Lsass, lo que le permitirá ocultar el proceso e iniciarlo automáticamente. arriba. Utilizamos herramientas como "Process Hunter" para ver los archivos DLL llamados por el proceso Lsass y compararlos con la información antes de la invasión troyana. Podemos encontrar que el archivo "QoSserver.dll" se ha agregado al proceso Lsass. Registre la ubicación específica del archivo, en este ejemplo es "C:\Windows\system32\QoSserver.dll".
Abra el Administrador de tareas de Windows XP, cambie a la pestaña "Proceso", finalice el proceso "QoSserver.exe" y elimine el archivo "QoSserver.exe" en el directorio del sistema. Luego ejecute Regedit, expanda [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver] en el editor de registro, elimine el elemento "QoSserver" directamente y reinicie la computadora. Después de reiniciar, elimine el archivo "QoSserver.dll" en el directorio del sistema. Cabe señalar que si el archivo "QoSserver.exe" no se eliminó antes, sino que solo se eliminó y reinició el servicio QoSserver, el "QoSserver.dll" insertado en el proceso Lsass generará otro servicio llamado "AppCPI". En este momento, abra nuevamente el editor de registro, expanda [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI] y elimine la entrada AppCPI. Si el servicio QoSserver resucita al mismo tiempo, cambie el tipo de inicio del servicio a "deshabilitado". Después de reiniciar la computadora, elimine los archivos troyanos en el directorio del sistema.
Prevenir troyanos DLL
1. Instale herramientas de detección y eliminación de troyanos. Para la mayoría de las personas, no es realista eliminar manualmente los troyanos DLL, por lo que es muy necesario instalar un software antivirus que pueda eliminarlos. También se debe recordar a los lectores que la base de datos de virus debe actualizarse a tiempo para garantizar que la mayoría de los virus troyanos puedan detectarse y eliminarse de manera efectiva. Por supuesto, también podemos instalar herramientas antitroyanos en el ordenador, como Trojan Star.
2. Compruebe si hay puertos desconocidos abiertos y supervise las comunicaciones de los puertos. Mientras el troyano se conecte y acepte/envíe datos, el puerto inevitablemente se abrirá, y el troyano DLL no es una excepción. Podemos usar el comando "Netstat-ano" para ver la conexión del puerto TCP/UDP y el identificador del proceso. el puerto abierto, o directamente Utilice la herramienta de visualización de puertos de proceso Fport.exe para ver el proceso correspondiente al puerto y descubrir si hay conexiones desconocidas y puertos abiertos.
Además, algunos troyanos DLL se comunican mediante el secuestro o la reutilización de puertos, por lo que no basta con comprobar el puerto. Si es necesario, podemos utilizar un rastreador para comprender qué datos está transmitiendo el puerto abierto.
3. Compruebe si hay archivos DLL sospechosos en el directorio del sistema. Después de instalar el sistema y todas las aplicaciones, puede crear un registro de los archivos EXE y DLL en la carpeta System32 en el directorio del sistema: ejecute "dir*.exe>bak1.txt&dir*.dll>bak2.txt" en el símbolo del sistema. , exporte toda la información de los archivos EXE y DLL a archivos TXT y guárdelos. Cuando se encuentren anomalías en el futuro, puede usar el mismo comando para realizar una copia de seguridad nuevamente y usar el comando FC para comparar los archivos EXE y DLL dos veces. Mediante este método, podemos encontrar archivos EXE y DLL sospechosos y juzgar si son troyanos DLL según el tamaño del archivo y el tiempo de creación.
4. Verifique los archivos DLL llamados por el proceso del sistema. Cuando sospechamos que se ha insertado un troyano DLL en un proceso del sistema, podemos usar algunas herramientas de proceso de terceros para ver los archivos DLL llamados por el proceso y luego confirmar si el troyano DLL está infectado. Dichas herramientas de visualización incluyen cazador de procesos, espía de procesos, etc. Además, también podemos usar TaskList, la herramienta de línea de comandos que viene con el sistema XP, para mostrar los archivos DLL llamados por el proceso y exportar esta información a un archivo TXT para guardarlo y compararlo en cualquier momento.
Pero tenemos que usar este tipo de troyano porque es más difícil de detectar y matar~~~~~~~~~~~~~
El troyano de inyección de DLL lo dice
Los archivos de enlace de biblioteca DLL son archivos necesarios para que muchos controladores y programas se ejecuten en sistemas Windows. En términos generales, este tipo de archivo no se puede ejecutar solo. El archivo DLL debe llamarse a través de un archivo EXE para realizar la función correspondiente. Al mismo tiempo, cuando se ejecuta el archivo EXE, el archivo DLL llamado no se puede eliminar. Debido a que los archivos DLL están ocultos y son difíciles de eliminar, muchos programas troyanos populares actualmente usan archivos DLL para la instalación, cargando el archivo DLL troyano en un proceso normal del sistema, ocultando así el proceso troyano y El propósito de proteger los archivos troyanos: este es el llamado troyano de inyección de DLL.
¿Cómo carga el troyano el archivo DLL? Aquí tomamos un troyano DLL comúnmente utilizado por los piratas informáticos, "Shangxing Remote Control Trojan", como ejemplo para explicarlo.
Después de ejecutar "Shangxing Trojan", haga clic en el botón "Configurar servidor" en la interfaz para abrir el programa de generación del servidor. Ingrese su propia dirección IP o nombre de dominio DNS dinámico en "IP de actualización de resolución de nombre de dominio DNS" e ingrese el nombre del archivo DLL del servidor generado en el nombre de la instalación. Después de que se ejecute el troyano, el archivo DLL se inyectará en el proceso del sistema especificado en el "Nombre del proceso del host" a continuación, cuyo valor predeterminado es "explorer.exe". Finalmente, haga clic en el botón Generar para generar el archivo troyano "rejoice_06.exe".
Difunda el archivo troyano generado y, cuando otros usuarios lo ejecuten, podrá controlarlo a través del cliente de control remoto Shangxing Trojan.
Alerta, el virus no se puede eliminar
¿Qué pasará si se implanta un troyano DLL en el sistema?
En primer lugar, el sistema es controlado remotamente por piratas informáticos y se produce una pérdida de datos; en segundo lugar, el software antivirus alertará de que hay un virus en el sistema, pero no se puede eliminar. Por ejemplo, después de ejecutar el troyano de control remoto Shangxing producido anteriormente en mi computadora, el software antivirus instalado en mi computadora indicó que se encontró un virus, pero falló al eliminar el archivo de virus DLL. Incluso si eliminamos el archivo de virus manualmente, no se eliminará por completo porque el archivo DLL está en uso. Incluso si entro en modo seguro, obtengo el mismo resultado.
Además, dado que el troyano DLL se inserta en el proceso del sistema, no se puede encontrar ningún proceso troyano a través de herramientas de proceso como el Administrador de tareas, lo que hace que sea muy difícil eliminar el troyano.
El archivo de virus no se puede eliminar y no se puede encontrar el proceso troyano. Entonces, ¿cómo eliminar el troyano de inyección de DLL?
No hay nada que ocultar, descubre dónde se esconde el troyano
Aunque el troyano no tiene su propio proceso, existe un proceso de host siempre que finalices el host. procese y deje de llamar al archivo DLL, los archivos DLL se pueden eliminar para eliminar troyanos. Por lo tanto, el primer paso para eliminar los troyanos DLL es encontrar el proceso de host inyectado por los troyanos. Entonces, ¿cómo podemos encontrar el proceso host inyectado por el troyano? Echemos un vistazo más de cerca.
Tome la eliminación del "troyano Shangxing Remote Control" como ejemplo. Desde el mensaje de alarma del software antivirus, ya sabemos que el nombre del archivo DLL del troyano es "rejoice.dll". Por lo tanto, puede encontrar el proceso host del archivo a través de algunas herramientas de administración de procesos que ven los archivos DLL llamados por el proceso. Existen muchas herramientas de este tipo, como la famosa ICESword.
Después de ejecutar IceSword, haga clic en "Ver → Procesos" en la barra lateral izquierda y podrá ver una lista de todos los procesos en la ventana derecha. Haga clic derecho en un proceso y seleccione el comando "Información del módulo" en el menú emergente para ver todos los archivos DLL llamados por el proceso.
Consejo: Los troyanos de inyección de DLL suelen cargar archivos DLL en procesos del sistema como explorer.exe, svchost.exe, winlogon.exe e iexplore.exe. Por lo tanto, al buscar el archivo host DLL, puede cerrar otros programas no relacionados y luego verificar los archivos DLL en estos procesos en secuencia.
Sin embargo, es un poco problemático verificar los procesos del sistema uno por uno. ¿Cómo podemos localizar rápidamente el proceso host del troyano? Puede utilizar una herramienta de gestión de procesos llamada "procexp". Después de ejecutar procexp, se muestra una lista de relaciones de procesos en forma de árbol en el medio de la interfaz del programa, con información detallada sobre cada proceso a continuación. Haga clic en el comando "Buscar → Buscar DLL" en el menú para abrir el cuadro de diálogo de búsqueda de archivos DLL. Ingrese las palabras clave que desea encontrar en "Subcadena DLL". Aquí ingrese el nombre del archivo DLL "rejoice.dll" que acaba de escanear. -software antivirus. Luego haga clic en el botón "Buscar" y podrá ver a qué proceso se llama el archivo DLL en la lista a continuación.
Una prueba rápida para eliminar troyanos de inyección de DLL de procesos comunes
Para la mayoría de los troyanos de inyección de DLL, se inyectan en los dos procesos "iexplore.exe" y "explorer.exe". Para estos troyanos DLL de proceso ordinarios, la eliminación será muy conveniente.
Si el archivo DLL se inyecta en el proceso "iexplore.exe", dado que este proceso es el proceso del navegador IE, primero debe cerrar todas las ventanas de IE y los programas relacionados, y luego buscar directamente el archivo DLL. y borrarlo. Eso es todo.
Si el archivo DLL se inyecta en el proceso "explorer.exe", será un poco más problemático. Dado que este proceso se utiliza para mostrar el escritorio y el administrador de recursos, cuando finaliza el proceso "explorer.exe" a través del administrador de tareas, no se puede ver el escritorio y todos los íconos del escritorio desaparecen, incluidos "Mi PC", "Mi Lugares de red" "Cuando todos los íconos desaparecen, al mismo tiempo, no puede abrir el administrador de recursos para buscar el archivo troyano y eliminarlo. ¿Qué hacer?
De hecho, la solución también es muy sencilla. Haga clic en el menú "Archivo → Ejecutar nueva tarea" en el administrador de tareas para abrir el cuadro de diálogo "Crear nueva tarea". Haga clic en el botón "Examinar" para abrir la ruta donde se encuentra el archivo DLL a través del cuadro de diálogo de exploración (Figura 4). . Luego seleccione "Tipo de archivo" como "Todos los archivos" para mostrar y eliminar el archivo DLL.
Eliminar archivos DLL en el cuadro de diálogo de exploración
Eliminar todo mal y eliminar troyanos de inyección de DLL especiales
Además de los troyanos DLL inyectados en procesos ordinarios mencionados anteriormente También se inyectan muchos troyanos en procesos clave del sistema, como los procesos svchost.exe, smss.exe y winlogon.exe. Estos procesos no se pueden finalizar utilizando métodos comunes. Después de utilizar herramientas especiales para finalizar los procesos, es probable que el sistema falle e impida el funcionamiento normal. Para estos troyanos, podemos eliminarlos mediante los dos métodos siguientes.
1. Utilice IceSword para desinstalar archivos DLL
IceSword es muy potente. Lo hemos presentado antes. Aquí, puede usarlo para desinstalar el archivo DLL que se ha insertado en el archivo. ejecutando archivos. DLL en los procesos del sistema. En la ventana de visualización de la lista de procesos de IceSword, haga clic derecho en el proceso del host del troyano DLL y seleccione el comando emergente "Información del módulo". Busque el archivo troyano DLL en el cuadro de diálogo de información del módulo de proceso, seleccione el archivo y haga clic en el comando "Forzar desinstalación" para desinstalar el archivo troyano DLL en el proceso del sistema
Desinstale el archivo troyano DLL en el proceso del sistema
2.SSM finaliza todos los troyanos DLL
El uso de IceSword puede desinstalar la mayoría de los archivos troyanos DLL, pero hay algunos troyanos especiales que provocarán que el sistema se bloquee y se reinicie cuando se desinstalen. Por ejemplo, PCShare, un troyano muy conocido, se ejecuta inyectando el proceso "winlogon.exe". Dado que este proceso controla el inicio de sesión de Windows, al utilizar IceSword para desinstalar, el sistema se reiniciará inmediatamente de forma anormal y no habrá tiempo para borrarlo. el archivo DLL Después de reiniciar, el troyano DLL se carga nuevamente. Para este tipo de troyano DLL, se debe evitar la carga del archivo DLL antes de ejecutar el proceso. A continuación, tenemos que utilizar una herramienta de seguridad para evitar que se carguen archivos DLL: "System Safety Monitor" (SSM para abreviar).
Consejo: SSM es un software de monitoreo de sistemas producido en Rusia. Protege la seguridad del sistema monitoreando archivos y aplicaciones específicos del sistema (como el registro, etc.). Este software es muy potente y puede ayudar a los cortafuegos y al software antivirus a proteger mejor la seguridad del sistema.
Ejecute SSM, seleccione la pestaña "Reglas" en la interfaz del programa, haga clic derecho en el espacio en blanco en la lista de reglas del medio, seleccione el comando "Nuevo", aparecerá una ventana de exploración de archivos y seleccione el tipo de archivo de exploración como "archivos DLL", seleccione la ruta de archivo especificada "C:\Windows\system32\rejoice.dll". Después de hacer clic en el botón "Aceptar", puede agregar el archivo "rejoice.dll" a la lista de reglas y luego seleccionar "Bloquear (F2)" en la lista desplegable "Regla" en la parte inferior de la interfaz. Después de completar la adición de la configuración de reglas, haga clic en el botón "Aplicar configuración" y luego reinicie el sistema.
Evite que se carguen archivos DLL en el proceso
Consejo: verifique la configuración de SSM antes de reiniciar el sistema para asegurarse de que SSM esté cargado y ejecutándose cuando se inicie el sistema.
Cuando el sistema se reinicia, SSM evitará automáticamente que los procesos relacionados llamen al archivo troyano "rejoice.dll". De esta forma, ningún programa utilizará el archivo troyano. Simplemente búsquelo en el disco duro y elimínelo directamente.
Yan Guo guarda silencio y limpia la basura restante de los troyanos.
Los troyanos de inyección de DLL no infectarán otros archivos siempre que finalice el proceso del troyano y se elimine el archivo de virus. el troyano no será dañino de ninguna manera. El trabajo restante es borrar las entradas dejadas por el troyano en el registro y otros archivos de inicio. El método es muy simple. Haga clic en "Inicio → Ejecutar" e ingrese el comando "regedit". Se abrirá el "Editor de registro". Utilice la función de búsqueda para borrar la basura que dejó el troyano en el registro. Puede abrir la utilidad de configuración del sistema y eliminar rastros de troyanos en el archivo de inicio.
Editor: Los procesos del sistema que los troyanos eligen inyectar también son diferentes.
Cuando nos encontramos con este tipo de troyanos, primero podemos considerar el uso de herramientas como procexp para descubrir el proceso host del archivo DLL. Después de encontrar el proceso del host, si se inyecta en un proceso normal que se puede terminar, puede finalizar directamente el proceso del host y eliminar el archivo troyano DLL. Si el archivo DLL se inyecta en un proceso crítico del sistema, puede considerar usar IceSword para desinstalar el archivo DLL; si falla, simplemente use SSM para establecer reglas para evitar la carga del archivo DLL.