有些木马为了免遭杀毒软件的查杀,经常将自己摇身一变,扮成系统服务,让其随系统启动自动运行,不知不觉地长久控制你的机器。让我们以牙还牙,来驱赶险恶的“后门服务”。
小知识 什么是服务
服务是一种应用程序类型,它在后台运行。要管理系统服务,请运行services.msc,打开“服务”对话窗口,这里可以看到当前系统中的所有服务。双击某一服务,在弹出的“属性”对话框的“常规”选项页中的“服务状态”栏可以看到此服务当前状态。单击“启动类型”下拉菜单,可以将该服务设置为自动启动、手动启动或禁用。
有道是:知己知彼方能百战百胜,要想应付这类木马,就得知道它是如何变脸为服务,来长期潜伏作恶的。一般说来,根据木马变脸的方法不同,通常可以从两方面去做相应防范:
一、小心Windows成为木马的帮凶
Windows的“服务”工具是不能添加/删除服务的,但可以利用Windows提供的资源工具包中的Instsrv.exe和Srvany.exe来实现。其中,Instsrv.exe可以给系统安装和删除服务,Srvany.exe可以让程序以服务的方式运行。
★变脸原理
第一步:报户口——注册服务名称
这里就以建立一个名为explorer的服务为例来说明,首先将Instsrv.exe和Srvany.exe存放到一个比较方便的地方,建议放到系统安装目录中(笔者的Windows XP安装目录为D:Windows)。运行cmd.exe,进入“命令提示符”窗口,执行命令:cd d:Windows,进入系统安装目录。运行命令:
Instsrv explorer d:Windowssrvany.exe
好了,这条命令的成功运行,已经在系统中注册了一个名叫explorer的服务,快到“服务”中看看一下检验检验吧!
小提示
★注册服务:instsrv
★删除服务:instsrv
第二步:找关联——后门服务
要让explorer服务正常运行,还必须在注册表中指定该服务对应的应用程序。运行Regedit.exe,打开“注册表编辑器”,依次展开如下子键:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices],在该子键下找到并右击explorer(对应前面建立的服务名),选择“新建”下的“项”,将其命名为Parameters。单击选定它,在右侧窗口中新建一个名为Application的字符串值,将其数值数据设置为explorer服务对应的应用程序绝对路径,比如:d:Windowsgboor.exe。接着再新建两个字符串值:AppDirectory和AppParameters,AppDirectory指定程序所在的目录,AppParameters指明程序运行的参数(注意:可以不用设值),最后关闭注册表编辑器。
接下来打开“服务”窗口,找到刚添加的explorer服务,打开其属性对话框,单击切换到“登录”选项页,在“登录身份”中选中“本地系统账户”,如果不想让服务在运行的时候弹出状态窗口,请不要勾选“允许服务与桌面交互”复选项,单击“确定”返回。至此,explorer服务已经全部配置好了。
最后,右击该服务,选择“启动”,这样该程序就会启动,而且以后也会在系统启动时自动以服务形式运行!
小提示
也可以通过命令来启动服务:net start explorer。
★赶走“后门服务”没商量
弄清了木马变服务的伎俩,解决起来就不难了。如果发现系统出现异常,可以到“服务”窗口中进行查看,一旦发现这种恶意的“后门服务”,驱鬼的也仅仅是两步:①停止服务。所用的命令是:net stop 服务名称,例如:net stop explorer。②彻底删除伪服务,把这些险恶的“后门服务”赶出家门,命令为:instsrv.exe 服务名称 remove,例如:nstsrv.exe explorer remove。
二、小心木马变服务的始作俑者
有些木马利用一款名为AppToService的小软件来变服务。该软件可以将任何应用程序作为 NT系统的服务来运行,而且操作起来更简单。
★变脸原理
安装好AppToService V2.7后,直接双击运行桌面上的快捷方式AppToService,即可按相应的提示进行操作。
举个例子,如果想要把程序d:Windowsgdoor.exe添加成服务,并将其“服务类型”设置为“自动”,只要运行命令:Apptoservice /install /absname:"bd" /startup:A "d:Windowsgdoor.exe",就可成功新建bd服务。启用服务的方法相同即net start bd。
★以牙还牙制服“后门服务”
如果发现一些木马借AppToService变脸为服务,可以运行如下命令来停止全部AppToService服务:AppToService /StopAll。接着再来删除它,要删除某一服务,请运行命令:AppToService /Remove 当前已存在的某个服务名称,比如:AppToService /remove bd,删除全部AppToService服务的命令为:AppToService /RemoveAll。
小提示
AppToService服务指的是所有通过AppToService添加的服务,不是指系统原有服务。
怎么样?知道了木马变服务的真实内幕了吧,相信有了上面的知识,再遇到后门服务,应该是手到擒来了吧!
声明:本文分析木马变服务过程,仅为了找出相应的防范办法。切勿模仿!