清除以服务启动DLL插入型木马

前两天朋友的服务器被人挂马了，很可能服务器系统也被人植入了木马，朋友把排查木马的这个艰巨任务交给了我。最后成功地将服务器上的木马借助工具手工清除。(由于当时的过程没有记录下来，所以以下的操作过程是虚拟机搭建的win2003环境，模拟木马清除全过程)。

　　首先经过某个服务器版杀毒软件的一番扫描后，没有查出任何木马，但是这个完全不能确定服务器上没有被植入木马，接着查看进程，没有可疑的进程出现，查看进程只能对付一些没有插入进程的木马。最好的排查方式是查看端口，凌晨两点网站访问的人也十分少，索性关闭了iis，以及所有可能进行网络连接的程序，通过冰刃1.22查看到了，一个对外连接的80端口开放，IIS已经关闭，服务器上也没有访问任何网站，显然这个80端口很可能是木马的对外连接。图1

　　

　　图1

　　而且很明显是svchost.exe这个进程打开了80端口，更可疑了，甚至可以判定，是某个DLL插入型木马插入到了svchost.exe这个进程，在以某个模块的身份运行。

　　很高兴的是，在此之前我经常让朋友备份服务器上的加载模块快照，在此时派上用场，通过这些快照可疑迅速的找到可疑的被加载的DLL模块。在这里说一下如何创建进程加载模块快照，在"开始"?"运行"里输入msinfo32.exe，紧接着片打开了一个程序窗口，接着按照下面的方式进行建立，在左侧下拉列表菜单中选择"软件环境"?"加载的模块"，就可以查看到所有进程加载的模块，如图2

　　

　　图2

　　然后点击下名称，使列表按照名称排列，都按照此方式，方便以后对照。

    之后在顶部的下拉菜单中选择"文件"?"导出"，将当前的列表导出为文本文件。这样就完成了备份，由于服务器配置完毕后很少在进行其他的软件安装，也很少更改当前的配置，所以这些被加载模块的名称一般是不变的。在这里还可以查看模块文件的创建日期等信息，对于一个隐蔽比较强的木马，一般在安装的时候都会把自身改成一个较早的文件日期，所以在查看文件创建信息的时候也没有查看到引起怀疑的信息。

　　接着拿出朋友以前备份的模块快照和当前的进行比对，发现了多了一个可疑的模块，名称为iasex，图3

　　

　　图3

　　用记事本记录下了这个这个模块的名称，在Windows任务管理器中搜索这个文件，没有找到任何文件，这也是很常见的情况，现在的木马都很难缠，不会这么轻易的就被查找出来的，当然更不会就这么轻易的放弃，接下来借助冰刃查看system32目录下的所有文件终于找到了一个名为iasex.dll的文件，如图4

　　

　　图4

　　这个文件在资源管理器中是搜索不到的。可以判定这个就是对比出来的被加载的模块。之后将这个文件复制出来。为了进一步确认一下这个文件到底是不是木马，可以用冰刃来查看打开80端口的svchost.exe所加载的模块里面是否有这个文件，查找过程过程：先在冰刃里记录打开80端口的svchost.exe的进程ID(图1中，进程ID为820)，之后在冰刃中查看进程，查看ID为820的进程，图5

　　

　　图5

　　最终果真在模块信息里找到一个非常可疑的模块信息。图6

　　

　　图6

　　看到了一个1038953.BAK，之后在该模块上点击鼠标右键弹出一个列表有复制的选项，将这个模块复制保存出来，用文件比较工具将前面复制出来的iasex.dll和这个文件进行比较，发现两个文件是完全相同的文件，毫无疑问，这个文件就是对外连接的木马文件。说到为什么直接就怀疑了是这个文件，原因很简单，我们看到文件的基址也就是Base只有这个模块是0x10000000，而根据以往经验，一般系统进程加载的正常模块都是0x50000000以上的。

　　接下来就是排查这个木马是怎么启动的了，查看了下注册表下的所有RUN键值都是正常的，以及其他的一些可能启动木马的位置，有的是以ActiveX启动，也排查了所有ActiveX项，最后判定这个木马是以服务启动的，目前的多数木马都是这样启动，对于服务启动这样的木马在系统用户没有登录前就可以对目标电脑进行控制的，危险性十分高。

　　可以打开打开服务管理器进行检查，这里还是借助冰刃，比较直观，我们可以缩小范围，排查所有以svchost.exe启动的服务，且进程ID为820的svchost.exe，最后找到了一个陌生的可以断定就是启动木马的服务，因为其他的进程ID820的服务都是我所熟悉的服务，图7

　　

　　图7

　　之后停掉这个服务，重新启动服务器，查看端口，已经找不到开放的80端口了，最后确定这个就是启动木马的服务。

　　我们还可以借助一个功能更强大一些的工具Atool，这个工具可以直接看到服务幕后对应的模块，而冰刃最终看到的是某个进程启动，图8

　　

　　图8

　　图8中最后的这个服务就是图7中我们排查到的服务，图8中的ATOOL直接显示出了模块名称。

　　最后我们清理系统中的残留文件首先，用冰刃删除System32下的1038953.bak和Iasex.dll，之后在"开始"?"运行"中输入regedit，打开注册表编辑器，当然你也可以借助冰刃来完成，之后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 下删除Ias整个这一项，如图9，也就是删除木马的服务。

　　

　　图9

　　这样整个木马的清除过程就完成了

　　小结：通过木马的种种迹象，最后得知这个木马的名字叫做"Gh0st RAT"，是一款远程控制木马，对服务器有所有的操作权限，包括文件的上传下载，屏幕查看，CMD命令执行，操作这款木马的黑客就像是在操作自己的电脑一样，这款木马是以DLL插入svchost.exe进程，之后以服务启动的，对于类似于这样的木马都可以按照本文的方式来清除。对于一个服务器管理者来说，仅仅有杀毒软件来防护木马是不够的，有些木马是黑客经过处理后对于杀软是免疫的，这样就需要养成比较好的习惯，例如经常给服务器的进程模块进行快照备份，在查找木马的时候就会事半功倍。