Evilotus木马病毒绕过卡巴斯基主动入侵

绕过主动防御木马病毒刺穿卡巴斯基 安全诊所的值班医生张帆，正在查询一些资料。这时推门进入一位病人。病人称他最近一段时间，很多和自己相关的网络账户都被盗了，想让医生看看是什么原因。张帆医生询问患者有没有安装杀毒软件。患者称自己安装的杀毒软件是最新版本的卡巴斯基，不但每天准时更新病毒库，并且还打上了系统的所有补丁。听了病人的讲述，张帆医生说：在排除系统漏洞情况下，能够绕过卡巴斯基的防御的木马就只有Evilotus。Evilotus木马档案 Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术，而且还有一些独创的木马技术。比如它具有SSDT恢复功能，通过它可以轻松绕过卡巴斯基的防御功能，实现了对卡巴斯基杀毒软件的免疫。连接端口无法躲避 张帆医生明白，所有的木马只要成功的进行连接，接收和发送数据则必然会打开系统端口，就是说采用了线程插入技术的木马也不例外。他准备通过系统自带的netstat命令查看开启的端口。为了避免其他的网络程序干扰自己的工作，首先将这些程序全部关闭，然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令，这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现，有一个进程正在进行对外连接，该进程的PID为1872。

顺藤摸瓜查找木马 由于已经获得了重要的信息内容，现在我们运行木马辅助查找器，点击“进程监控”标签，通过PID值找到可疑的Svchost进程。选中该进程，在下面的模块列表查找，很快就找到了一个既没有“公司”说明，也没有“描述”信息的可疑DLL文件，因此断定这个就是木马服务端文件。看到该木马使用了线程插入技术，并且插入的是系统的Svchost进程。

慎防随机木马在系统中生成病毒文件主动出击：彻底清除QQ盗号黑手相关资讯卡巴斯基 Evilotus木马

卡巴斯基发布2016年2季度DDoS报告（08月08日）
卡巴斯基反病毒软件修正其 0day （10/12/2015 08:04:33）
卡巴斯基故意伪造恶意文件伤害竞争（08/15/2015 13:15:51）

AVG、迈克菲和卡巴斯基软件存在相（12/11/2015 15:11:09）
卡巴斯基安全软件发现可利用的漏洞（09/23/2015 20:40:48）
卡巴斯基：美国间谍软件可监听全球（02/17/2015 11:58:11）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容