Evilotus病毒档案

　　Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术，而且还有一些独创的木马技术。比如它具有SSDT恢复功能，通过它可以轻松绕过卡巴斯基的防御功能，实现了对卡巴斯基杀毒软件的免疫。

　　连接端口无法躲避

　　张帆医生明白，所有的木马只要成功的进行连接，接收和发送数据则必然会打开系统端口，就是说采用了线程插入技术的木马也不例外。他准备通过系统自带的netstat命令查看开启的端口。

　　为了避免其他的网络程序干扰自己的工作，首先将这些程序全部关闭，然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令，这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现，有一个进程正在进行对外连接，该进程的PID为1872。

　　顺藤摸瓜查找木马

　　由于已经获得了重要的信息内容，现在我们运行木马辅助查找器，点击“进程监控”标签，通过PID值找到可疑的Svchost进程。

　　选中该进程，在下面的模块列表查找，很快就找到了一个既没有“公司”说明，也没有“描述”信息的可疑DLL文件，因此断定这个就是木马服务端文件。看到该木马使用了线程插入技术，并且插入的是系统的Svchost进程。

　　顺利找到木马程序的进程以后，张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具，依次点击“启动项目→服务→Win32 服务应用程序”按钮。

　　在弹出的窗口中选择“隐藏微软服务”选项后，程序会自动的屏蔽掉发行者是Microsoft的项目

[1] [2] [3] 下一页