Byshell是
个无进程、无DLL、无启动项
、集多种Rootkit技术特征独立功能远程控制后门
(Backdoor)
其利用线程注射DLL到系统进程
解除DLL映射并删除自身文件和启动项关机时恢复它是内核级木马主要部分工作在Ring0因此有很强隐蔽性和杀伤力黑客通常用Byshell木马
远程控制安装了Windows NT/2000/XP/2003操作系统机器当Byshell被安装在台远程计算机上后黑客就拥有完全控制该机器能力并且不会被已控制机器所安装杀毒和防火墙等软件Software及管理员手工检测出来如何绕过主动防御
Byshell利用Rootkit技术
可以绕过严格防火墙或者边界路由器访问控制无论从内网或者外网被控端都可以轻松连接到外网控制端该技术所建立连接也会被隐藏被安装该后门机器都不能看到该后门使用连接同时
它没有自己独立进程也不会在任务管理器或者绝大部分第 3方进程管理工具中出现新进程它使用个隐藏iexplore.exe进行对外连接可以绕过防火墙应用访问网络限制在注册表中找不到由它建立启动项无任何RUN键值避免了被Msconfig的类检测到ByShell木马通过对当前系统SSDT表进行搜索接着再搜索系统原来使用SSDT表然后用以前覆盖现在SSDT表木马则又可以按照正常顺序来执行这样就最终让主动防御功能彻底失效5步清除Byshell
1. 安装
个具备进程管理功能安全工具软件Software查看系统进程可以看到很多被明显标识出进程这些进程都是可疑进程很有可能有些进程已被植入木马病毒点击其中IE浏览器进程发现其中包括了个可疑木马模块hack.dll2. 找出来该安全工具软件Software中和服务管理相关
选项同样可以看到多个被明显标识出系统服务介绍说明这些服务都不是系统自身服务经过查看发现个名为Hack服务较为可疑
它名称和木马模块名称相同3. 找出工具软件Software中和文件管理相关
标签在模拟资源管理器窗口中按照可疑模块路径指引很快发现了那个可疑木马模块文件hack.dll和此同时还发现个和模块文件同名可执行文件看来这个木马主要还是由这两个文件组成4. 现在我们就开始进行木马
清除工作在进程管理选项中首先找到被明显标识IE浏览器进程选中它后通过鼠标右键中“结束这个进程”命令清除它接着点击服务管理选项选择名为Hack服务后点击右键菜单中“删除选中
最新评论