对Svchost.exe服务程序病毒木马的深入分析

前言:

  进程文件: svchost or svchost.exe 【不区分大小写】

  进程名称: Generic Service Host Process for Win32 Services

  进程类别:系统进程

  位置:C:\windows\system32\svchost.exe

##CONTINUE##


  中文参考:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向 scvhost,由cvhost调用相应服务的动态链接库来启动服务。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程。VISTA系统和WIN7系统svchost服务进程会更多。所以看到多个svchost服务存在并不代表就一定存在病毒木马。

  因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。新增svchost服务、替换svchost服务是当前病毒木马最常用的手法。所以看到svchost少也并不代表就一定正常。

  windows系统存在多个svchost进程,在受感染的机器中到底哪个是病毒进程呢?下面的分析帮您来解决这个问题。

使用工具:Sreng , TinyRAT ,冰刃

下载地址:http://www.kztechs.com/sreng/download.html

病毒文件:

这里使用了TinyRAT 远程控制来替换掉BITS服务。替换动态链接库DLL文件为SysAdsnwt.dll ,文件路径C:\windows\system32\SysAdsnwt.dll

BITS服务名称: BITS

BITS服务显示名称:Background Intelligent Transfer Service

BITS服务描述:在后台传输客户端和服务器之间的数据。如果禁用了 BITS,一些功能如 Windows Update,就无法正常运行。


服务替换操作: 运行TinyRAT ,进行服务替换操作。如下图所示,BITS启动类型已从手动被修改成了自动,并且由停止服务变成了运行。进程列表svchost.exe进程也由5个增加到了6个。你能分别出那个是异常的么?



服务分析过程:

打开冰刃,点击【进程】,记录每一个svchost.exe对应的进程PID号备用。这里分别是844,924,980,1036,1112,1256 以作备用。

点击【服务】,记录每一个进程ID对应的服务名和服务模块路径。





搜索引擎的利用:

通过上面记录的服务名和服务模块路径,在搜索引擎上找相关的信息,如果可以找到相关的正确信息,那PID所对应的svchost.exe服务就是正常的。如果未找到相关信息,或是病毒木马相关信息,记录下服务名和服务模块路径做清理时备用。

拿BITS服务和模块路径C:\windows\system32\SysAdsnwt.dll来说,打开百度,搜索:BITS SysAdsnwt.dll 得到如下信息,可以确定是病毒利用了。还可以搜索到BITS非系统必要服务进程。

服务清理过程:

打开sreng 点【启动项目】-点【服务】-点【win32应用服务程序】



根据上面记录的C:\windows\system32\SysAdsnwt.dll对应的服务是异常的。从【服务动态链接库】列表中寻找到对应的记录,找到后选中记录,选中右下角的【删除服务】,点【设置】按钮

在弹出的确认窗口点击【否】按钮确认进行删除,然后重启机子。手工删除C:\windows\system32\SysAdsnwt.dll即可。



后记:由于手工操作需要对系统文件了解有一定的要求,因此该文所涉及内容,对系统文件一无了解的朋友慎用。粗略的介绍了win32服务应用程序的识别、清理过程.

0 评论:

发表评论