绕过主动防御 木马病毒刺穿卡巴斯基
安全诊所的值班医生张帆,正在查询一些资料。这时推门进入一位病人。病人称他最近一段时间,很多和自己相关的网络账户都被盗了,想让医生看看是什么原因。
张帆医生询问患者有没有安装杀毒软件。患者称自己安装的杀毒软件是最新版本的卡巴斯基,不但每天准时更新病毒库,并且还打上了系统的所有补丁。
听了病人的讲述,张帆医生说:在排除系统漏洞情况下,能够绕过卡巴斯基的防御的木马就只有Evilotus。
Evilotus木马档案
Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术,而且还有一些独创的木马技术。比如它具有SSDT恢复功能,通过它可以轻松绕过卡巴斯基的防御功能,实现了对卡巴斯基杀毒软件的免疫。
连接端口无法躲避
张帆医生明白,所有的木马只要成功的进行连接,接收和发送数据则必然会打开系统端口,就是说采用了线程插入技术的木马也不例外。他准备通过系统自带的netstat命令查看开启的端口。
为了避免其他的网络程序干扰自己的工作,首先将这些程序全部关闭,然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令,这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现,有一个进程正在进行对外连接,该进程的PID为1872。
