讀者反映:鼠標的詭異滑動
這幾天我上網後就發現自己的鼠標有些失靈,因為無法對它進行控制操作。本以為是鼠標的接口有些松動而接觸不良,可是後來我發現鼠標竟然在屏幕中滑動,好像有另一個人在進行控制一樣。我當時懷疑中毒了,於是請了一個懂電腦的鄰居幫我查看,經過他檢測後,發現系統的Messenger服務被替換了(圖1)。請問醫生,這是什麼病毒造成的?
病毒自述:我要當“帶頭大哥”
無論是鼠標的詭異滑動,還是Messenger服務被替換,都是由我一手來完成的。首先請允許我進行自我介紹,本人的大名是“DG遠程控制”。DG就是大哥的意思,表示我要做國產遠控木馬的“帶頭大哥”。
我通過網頁木馬或文件捆綁,悄悄地進入到用戶系統中並運行。運行完成以後,我會在系統的Windows或System32目錄中,釋放一個DLL文件。文件的名稱可以進行自定義設置。然後服務端文件會進行“自我銷毀”,避免被用戶發現後引起懷疑。
接著,我會新建服務或替換服務,讓自己可以隨著系統的啟動而自動運行。至於到底是新建服務還是替換服務,就看我的主人怎樣設置了。不過如果是默認選擇的話,我會采取“替換服務”這種啟動方法,我就可以替換Messenger服務。tW.WINgWit.cOM這樣既不容易引起用戶的注意,也不容易被安全工具檢測出來,而且還可以成功地突破殺毒軟件的主動防御。
當我忙完上面的這些活以後,就會將自身插入到系統進程Svchost.exe中。之所以選擇Svchost.exe系統進程,是因為Windows系統包含了多個Svchost.exe的進程,用戶不容易發現其中的一個有問題。現在我開始自動連接黑客的電腦,連接成功後接受黑客的遠程控制指令。我有屏幕控制、視頻監視、音頻監聽、文件管理等功能,其中屏幕控制功能是我最自豪的。因為我的這個功能是目前國產遠控中,速度最快、效果最好的。
本期醫生:修復服務清除病毒文件
DG遠程控制病毒雖然采用了各種隱藏方法,但卻逃不過我的“火眼金睛”,要清除它只不過是彈指間的事。具體地清除方法如下:
第一步:首先運行安全工具WSysCheck,點擊“進程管理”標簽可以看到一個粉紅色的Svchost.exe進程,這就是被木馬線程插入的進程(圖2)。從圖中我們可以看到,這個木馬默認的名稱為12345.dll,但也有可能是其他的名稱內容信息。現在選擇這個被利用的進程,通過鼠標右鍵中的“結束這個進程”命令來終止它。
第二步:接著點擊程序的“服務管理”標簽,會看到一個紅色的Messenger系統服務,說明這個系統服務已經被木馬進行修改。選擇被修改的Messenger服務後,點擊右鍵中的“定位注冊表項”,然後在出現的窗口選中Messenger服務中的Parameters項,然後雙擊窗口中的ServiceDLL,將內容替換為系統默認的%SystemRoot%\System32\msgsvc.dll或直接刪除即可。
第三步:然後點擊“文件管理”標簽,在模擬的資源管理器窗口中,在系統的Windows或System32目錄中,找到12345.dll這個文件後點擊右鍵選擇菜單中的“刪除選中的服務”命令即可。
小知識:病毒為什麼要替換系統服務?
很多病毒會替換系統服務,之所以這麼做是想利用Windows系統的Svchost.exe進程。Svchost.exe經常通過讀取系統服務的注冊表信息,就可知道應該調用哪個動態鏈接文件。修改系統服務後,病毒可以利用Svchost.exe進程啟動病毒。另外,不少安全工具在檢測時常常會過濾系統服務而不進行檢查,給病毒可乘之機。
From:http://tw.wingwit.com/Article/Network/201309/139.html