新型木马“代理木马”攻击原理与查杀

最近，有一种新型木马倍受瞩目，它不盗号，也不窜改首页，可一样能让你的电脑“痛不欲生”，这是怎么回事呢？

一般的木马的危害都是远程控制用户的电脑，伺机盗取用户的个人隐私数据，例如网游账号、QQ账号等，可目前网络中出现了一种特殊的木马——代理木马，如果用户的电脑中了该木马，电脑就会被木马控制，用来发动DDos攻击。

小知识：什么是DDos？
DDos英文名是Distributed Denial of service ，意思是分布式拒绝服务攻击，通俗地说就是大量电脑同时向特定目标发送垃圾数据包，例如服务器、网站或者单台电脑，造成特定目标瘫痪。

DDos攻击危害很大，那应该如何抵御呢？要定期进行检测，寻找并排除潜在的全漏洞；为服务器配置硬件防火墙，可以很好地抵御DDos攻击;设置路由器，限制SYN/ICMP数据包的流量，也可以很好地降低DDos攻击的危害;通过Unicast Reverse Path Forwarding反查询攻击的IP地址源，屏蔽IP地址源。

代理木马是作恶手段剖析

代理木马主要通过网页挂马的方式传播，当它进入用户电脑后，就会释放.bat脚本文件，将自身拷贝到 C:Windowssystem32目录，重命名为yxdwl.exe，需要注意的是不同变种生成的文件名可能不同，接着创建同名的系统服务指向这个文件，这样操作后，木马就可以随系统自启动了。

为了逃过杀毒软件的查杀，代理木马在程序入口处插入了花指令、通过寄存器EBX异或26的方法加密，经过变形和加密处理后的代理木马极难查杀。为了防止用户在任务管理器中发现端倪，它还将自身进程名改为svchost.exe，伪装成系统的进程。

编注：花指令(junk code) 意思是程序中一些由设计者特别设计的指令，希望使反汇编的时候出错，让破解者无法清楚正确地反汇编程序的内容，迷失方向。经典的是一些跳转指令，目标位置是另一条指令的中间，这样在反汇编的时候便会出现混乱。花指令有可能利用各种 jmp、call、ret以及一些堆栈技巧、位置运算运用等等。

做完这些，代理木马就会远程连接rj55.33**.org，下载其他病毒以及一个带有IP地址的数据包，接着木马就会不停地向该IP地址发送ping包，展开拒绝服务攻击，IP地址不是固定的，木马作者随时可以改变攻击目标。

查杀代理木马

系统比较慢，上网速度也慢下来，就有可能是中了代理木马，先调用杀毒软件，升级后在安全模式下全盘杀毒。如果杀毒软件无法清除该病毒，怎么办？

不妨使用安全辅助工具来清除该病毒，启动安全辅助工具后，扫描系统看看病毒对系统都做了什么，揪出病毒在系统中的藏身之处，然后根据扫描的结果修复系统。修复系统后，再用杀毒软件查杀残余的病毒文件，可以多试几款杀毒软件。

如果你有一定的安全基础或者病毒连安全辅助工具也查不出，不妨试试手动清除病毒。启动安全管理工具ATool【点击下载】，打开ATool，选择左侧的“进程管理”，在界面中可以看到被软件提示为危险的进程。

除了高亮显示的进程，再查看“发行商”、“概述”两项，是不是有信息为空的进程，如果有，也有可能是木马进程，再进一步判断该进程是不是与系统的进程同名、该进程是不是在任务管理器中看不到。一般来说，“发行商”、“概述”为空的进程都非常可疑，绝不是系统进程，不妨都先结束。

定位可疑的进程，在左侧点击“服务管理”查看系统服务，发现了两个高亮显示的可疑服务，选中这两个服务，点击右键选择“停止”，然后选择“删除”，接着在资源管理器中将C:Windowssystem32下的yxdwl.exe和 Theurlwd.url删除，最后再重启电脑调用杀毒软件进行全盘查杀。

未经允许不得转载：DOIT » 新型木马“代理木马”攻击原理与查杀