TinyRAT木马如何清除

如今，无论用于网页木马还是远程溢出，黑客都会选择一款小巧的木马程序。随着杀毒软件和防火墙功能的逐步提高，木马程序的隐蔽性也是越来越强。比如今天介绍的这款木马程序，无论是随机启动还是穿越防火墙都是使用的系统程序，这样就为我们的检测带来非常大的困难。那么怎样才能顺利清除这款木马程序呢？

　　今天一网友说说自己刚刚完成不久的一张设计图被其他的设计师剽窃，问是怎么回事？听了讲述，已经隐约怀疑是木马程序作祟，但是哪一款木马程序呢？在随后的检测中发现：这个恶意程序非常奇怪，既没有相关的进程又没有启动项，就好像在系统中透明的一样，难道这就是江湖中传闻的“踏雪无痕”？这时，周医生立刻明白了，这个木马程序就是TinyRAT。
木马的技术特点
　　TinyRAT是一款全新的远程控制软件，它最大的特点之一就是服务端程序“短小精悍”，通过FSG压缩后只有12KB大小，所以非常适合用于网页木马、文件捆绑等操作。
　　另外，由于木马调用SvcHost.exe服务，同时使用了一些程序替换技术，所以程序可以在卡巴斯基默认的设置下，随机自动启动并轻松穿透防火墙的拦截。
木马隐藏得太深
　　周医生打算从木马的启动项和进程开始下手，接着就可以顺藤摸瓜然后将病毒一网打尽。首先运行System Repair Engineer，点击“智能扫描”按钮后选择“所有的启动项目”和“正在运行的进程”选项，接着对系统进行一个全方位的扫描。

　　当程序扫描完成后，周医生从提交的报告中并没有看出任何的可疑之处（图1）。周医生心里想：这个木马程序果然隐藏得够深啊！

　　既然通过传统的方法不能找出木马的相关内容，那么这个木马程序该如何查找分析呢？这时周医生看到系统栏中的网络状态窗口，想到我们可以通过查看进程再进行数据传输，这样就可以查找到木马程序的进程。
　　于是关闭系统中所有运行的程序，接着运行木马辅助查找器。再点击“端口信息”标签列表，果然发现有一项Svchost进程在进行数据传输，这里我们记下该进程PID值（图2）。

　　PID值：是进程标志符。PID列代表了各进程的ID，也就是说PID就是各进程的身份标志。打开系统的“任务管理器”并点击“进程”标签，接着点击“查看”菜单中的“选择列”命令，然后在弹出的窗口中选择“PID”一项。这时你就能看到进程列表中的PID值了，PID值越小越好。
发现木马真身
　　点击“进程监控”标签，从列表中选中前面那个PID值的Svchost进程后，在下面的模块列表中果然发现了一个既没有“公司”说明，也没有“描述”信息的可疑DLL文件。
　　根据文件的路径信息找到SysAdsnwt.dll文件，根据它的生成时间可以确认这个文件就是木马的服务端文件（图3）。

　　然后周医生开始寻找木马程序的启动项。既然已经知道木马程序利用了Svchost进程，我们还是通过它来进行查找。我们知道Svchost进程其实就是“Service Host”（服务宿主）的缩写，它本身并不能给用户提供任何服务，而是专门为系统启动各种服务的。
　　由于系统服务在注册表中都设置了相关参数，因此Svchost通过读取某服务在注册表中的信息，即可知道应该调用哪个动态链接库。这样只要查找到调用SysAdsnwt.dll文件的系统服务，就可以查找到木马的启动项。
清除木马很简单
　　现在看看如何对TinyRAT木马进行卸载清除。首先运行注册表编辑器，接着点击“编辑”菜单中的“查找”命令，在弹出的窗口中输入查找内容为“SysAdsnwt.dll”。
　　由于在注册表中服务下边有一个Parameters的子键，其中的ServiceDll表明该服务由动态链接库负责，所以凡是查找到名为ServiceDll的项目的统统删除。
　　接着在“木马辅助查找器”中选择“进程监控”标签，选择木马利用的Svchost进程后点击窗口的“终止选中进程”按钮即可。最后进入系统的System32目录中，将该DLL文件删除就完成了木马的清除工作。