远控、木马？神马都是浮云！病毒防范 -电脑资料

    年初，中央电视台的《焦点访谈》专门介绍了 如何危害大众的事，给人的感觉是 软件在利益的趋势下，有愈演愈烈的趋势，而普通用户的电脑沦为 们的“肉鸡”，只有被人任意宰割的份了，

远控、木马？神马都是浮云！病毒防范

    为什么会这样？这还得从 软件的原理说起。

    软件，也称远控软件，是一种特殊的软件，合法的用途是用于远程维护电脑，能增加工作效率、降低劳动成本，但在 手里，就演变成为控制用户电脑，盗窃用户电脑资源的后门，用户电脑一旦被植入这种东东，什么游戏装备、QQ密码、银行支付帐号、股票账户、机密文档，都会成为 的囊中之物，除此之外，若干台被控电脑还可以组成“僵尸”网络，成为犯罪分子攻击别人电脑网络或者运行系统的帮凶，所以，电脑被 控制是非常危险的事情。

    有人要说了，我的电脑安装了杀毒软件，还有防火墙，难道就防不住这些 软件？！

    是的，基于杀毒软件的工作原理， 们使用各种“免杀”技术，就能逃避杀软的查杀，达到入驻用户电脑的目的。他们为了达到长期霸占用户电脑的目的，还使用了随时更新远控端程序的技术，目的只有一个，让杀软永远发现不了它们。

    无毒空间的诞生，基本是敲响了这类 软件的丧钟，其原因是，那些在杀软面前非常牛的“免杀”技术，在无毒空间面前无疑于自投罗网，无毒空间的工作原理跟 软件的“免杀”技术是完全相克的，所以，只要用户电脑的无毒空间还在正常工作，抓 软件、后门程序就如同“瓮中捉鳖”一样非常容易。

    以下案例就显示无毒空间抓住各类 软件的样子。

    首先试试灰鸽子这个经典的远控，我们将灰鸽子的最新版找来测试了一下，老版本就不一一试验了，从原理上看，都应该不在话下。

    这个截图显示的是灰鸽子进入用户电脑的情形，我们为了测试这个木马，故意没有搭理它，如果第一时间就禁止这些可疑程序，我们也就看不到后面的精彩镜头了。

    重启电脑，当作不知道木马已经进入我们电脑的样子。

    按照无毒空间捕捉未知木马的套路，点击一下“分析”按钮。

    一个名为hyyxs.cc3的可疑程序，浮现在用户的眼前，这个程序的可疑之处简述如下：

    1、文件的扩展名不是常规的执行文件，但它执行了；

    2、文件加载路径为非正常路径，使用超长复杂路径，由于 不想让用户太容易找到其后门程序，这样安排就显得比较“合乎常理”了；

    3、文件尺寸超大，25兆，逃避云查杀的招数；

    4、厂商信息及版本信息异常， 们好像都不太勤快，这种无厂商无版本的情况比较常见。另一种比较常见的情况是信息完整，但都是冒充知名厂商的程序，微软、卡巴、QQ、360都是冒充的对象，

电脑资料

    懂行的用户根据上述情况，基本就能断定这是木马无疑。

    发现了、找到了木马后门程序，就好比知道家里藏了贼，怎么处理应该就不是难事了。

    抓个灰鸽子不算什么本事，因为这个木马已经臭了大街了，各类安全软件首要的任务就是发现并搞定这个知名木马，无毒空间并不是为某个版本的木马设计的，所以，即使木马有无穷的变种，其结果和下场都是一样的。

    这不，我们再找一个免杀全球97.7%杀毒软件的最新木马试试（本来是100%免杀的，因为这个版本诞生有段时间了，有的杀软可能已经得到样本，也认识了这个远控软件）。

    PS:木马使用巨型文件对付云查杀使得上传扫描成为一个问题，解决这个问题的办法是将样本用rar或者zip压缩后上传，就能克服这个障碍。

    还是老套路运行这个木马程序，当作正常程序对待。但木马就是木马，执行后总是显示出不正常的地方，这不，下面的执行记录里，有两个程序执行后失踪了，还有一个后半部分带4d1f的随机文件名特征的程序，这都有异于正常程序的蛛丝马迹。

    本着要看看这个木马到底怎么偷偷控制我们电脑的目的，我们故意不加干涉，重启一下电脑看看。

    启动电脑后，我们打开木马的远程控制台管理程序，发现这个木马上线了，用户的电脑各种信息显示在木马操作者的手里。这时 的权限比用户的权限还要大，因为用户在明处， 们在暗处，对比之下 神不知鬼不觉的，更加危险，也更加有不可预知性。

    在无毒空间里，分析一下，就直接看见了 最想隐藏的客户端后门程序。

    以下几个疑点也是非常明显的：

    1、10兆超大尺寸；

    2、加载路径不寻常；

    3、无厂商、无版本；

    4、随机文件名。

    在无毒空间里禁止这个异常程序，关闭主界面，重启电脑。

    我们发现木马的后门程序不能正常运行了，虽然无毒空间没有删除任何程序，但 的后门程序也照样不能启动工作了，这表明我们已经实现了夺回了对电脑的控制权。

    重新打开 使用的远程控制台管理程序，发现原来可以远程控制的用户电脑掉线了，显然 已经失去了任意鱼肉用户的权限。

    实际上，查杀 的隐藏程序还有一些高级工具软件可以选用，比如：

    SRENG2,ICESWORD,WSYSCHECK,XUETR,POWERTOOL,GMER,UNHOOKER等等，这些工具软件都非常高级，捕捉未知木马的能力也都非常强，唯一遗憾的是，这些工具都非常专业，普通人用起来有些难度。

    一旦用户捕捉未知病毒木马的经验丰富了，还是需要学会使用这些工具的，这样，也可以避免单独使用一种工具可能造成的遗漏。