冰刃(Icesword)VS驱动级隐藏Pcshare(图)

一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术，达到系统级别的隐藏。类似灰鸽子，由于结合了最新的Rootkit技术，用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息，最近有泛滥的趋势...
PcShare样本(arcldrer.exe)运行后释放文件有：
%System32%\Ybfbqufe.d1l
%System32%\Ybfbqufe.dll
%System32%\drivers\Ybfbqufe.sys
插入并启动IE隐藏进程：
在注册表中添加了隐藏的驱动服务：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ybfbqufe]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ybfbqufe]
指向%SystemRoot%\System32\drivers\Ybfbqufe.sys
如果是XP系统：
修改dmserver服务(监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmserver\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dmserver\Parameters]
指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"
如果此服务被终止，动态磁盘状态和配置信息会过时。如果此服务被禁用，任何依赖它的服务将无法启动。
如果是2000系统：
修改RpcSs服务(Remote
Procedure Call
Services)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Parameters]
指向病毒文件：
"ServiceDll"="%System32%\Ybfbqufe.d1l"
rpcss.exe是微软Windows操作系统的一部分。它用于本地计算机的远程程序调用服务。它是本地网络的公用服务。这个程序对系统的正常运行是非常重要的。

驱动级隐藏木马结合了最新的Rootkit技术，用一般的系统扫描软件如Hijackthis等无法检测到其木马服务信息，最近有泛滥的趋势...
但是有这么一款软件，它专为查探系统中的幕后黑手——木马和后门而设计，内部功能强大，它使用了大量新颖的内核技术，使内核级的后门一样躲无所躲，它就是——IceSword冰刃。
IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

1.IceSword的“防”
打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。
2.IceSword的“攻”
如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得笔者介绍了。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天，笔者通过一次经历来说明IceSword几招必杀技。
前段时间，笔者某位朋友的个人服务器(Windows 2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。笔者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”……
第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚，但使用系统自带的“任务管理器”是看不到些进程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。
别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影
第二步:点击窗口左侧的“服务”按钮，来查看系统服务。，这个木马的服务也是隐藏的，怪不得笔者未能发现行踪。