当前位置: 首页 > 杀毒频道 > 病毒防治 > 正文

另类方法找木马

时间:2008-04-15 赵常谷

木马虽疯狂,但对付它的方法也有多种,我认为最好的方法是能自己掌握查杀木马的方法。下面用一个实例介绍一种利用系统本身自带的“程序安装事件记录文件”查找木马的方法,希望起到抛砖引玉的作用(该方法只适用Windows 2000/XP/2003)。

“程序安装事件记录文件”的文件名是SETUPAPI.LOG,根据你的系统所在分区不同,在Windows或WINNT目录下,这个文件记录的是机器安装硬件和软件的信息,不管是否安装成功,它都会把这些动作记录在案。由于这些记录很详细,所以文件体积大、内容繁杂。不过只要细心,有耐性,你也会成为逮“马”的高手。以下是我的电脑被感染木马后,截取SETUPAPI.LOG的部分内容。

[2004/11/10 14:01:54 180.1]

#-198 处理的命令行: "e:\program files\internet explorer\iexplore.exe" -nohome

#-024 正在将文件 "e:\documents and settings\administrator\local settings\temporary internet files\content.ie5\uve9o9o5\icyfox[1].exe" 复制到 "e:\windows\downloaded program files\#.exe"。

#W361 一个未经过签名、签名不正确或 Authenticode(TM) 签名的文件 "e:\documents and settings\administrator\local settings\temporary internet files\content.ie5\uve9o9o5\icyfox[1].exe" 将得到安装(策略=忽略)。 错误 87: 参数不正确。

从这些片断中不难看出, 该病毒是通过IE进来的,到达IE临时文件夹后再复制到了IE默认的下载文件夹下进行安装。整个过程都是通过一个脚本文件完成的,包括它自动运行。

此木马在系统中的进程名是HWS.EXE,文件存放在Windows的系统文件夹下。通过文件时间可以看出与SETUPAPI.LOG记录的时间相吻合。它在系统中运行后,IE和注册表被改,而且无法再打开“注册表编辑器”,也无法再导入注册表文件,最后利用工具才解除了注册表禁用,可不一会又回到了原来的状态。种种迹象表明,HWS.EXE不是一个正常的进程。

之后,先在“任务管理器”中将HWS.EXE终止,然后在系统文件夹下删除HWS.EXE文件,再用工具修复IE和注册表,终于把此“马”赶出了系统。

这个木马是以进程方式在系统中运行,相对比较容易被发现。而对于一些插入进程的木马,就要在SETUPAPI.LOG文件中搜索调用系统注册服务的命令REGSVR32.EXE了。

以上我说了利用SETUPAPI.LOG文件查找木马的过程。其实它还有很多有用的地方,如查找软件和硬件故障也大有用武之地。