病毒名稱:Win32.Troj.Unknown.366080
中文名稱:暗組遠控
病毒類型:木馬程序
威脅等級:中等
本期醫生:痛並快樂著
定時關閉端口的Svchost.exe進程
最近我在論壇中看到網友推薦一款非常好看的播放器,就下載安裝了,在安裝時出現程序錯誤提示,當時以為無法安裝就直接刪除了。沒過幾天,我就在那個論壇上發現了我的一些私人照片。
我知道電腦中毒了,急忙通知我哥哥,他檢測了我的系統後發現有一個Svchost.exe進程,不但在偷偷地進行數據傳輸,並且還定時關閉傳輸數據的端口。哥哥結束這個進程,沒有想到出現60秒倒計時關機。請問醫生,這個病毒應該怎麼清除?
多重偽裝巧隱藏
本人綽號“暗組遠程控制2008”, 由於“十八般武藝”樣樣精通,成為黑客進行遠程控制的利器,在“腥風血雨”的網絡中占有一席之地,你的私人照片被盜,就是我的傑作。
我常常通過文件捆綁、郵件偽裝等方式欺騙用戶並植入系統。由於現在的殺毒軟件都有主動防御功能,因此當我成功進入到用戶系統以後,修改系統服務描述符表(主動防御就靠它起作用)讓主動防御對我在系統中的操作“視而不見”。
接著,我釋放一個DLL文件到系統中的System32目錄裡面,然後將木馬本身銷毀,將釋放的DLL插入到Svchost.exe進程中,所以一結束Svchost.exe進程就會出現60秒倒計時關機。tW.WiNgWIT.CoM
為了可以隨著系統自動啟動,我還設置了一個對應的啟動信息。我采用的方法和其他木馬不同,它們往往通過新建的服務來進行啟動,而我是對系統的BITS服務信息(BITS服務是Windows系統自帶的服務之一,可以利用空閒網絡帶寬在後台傳送文件)進行替換,這樣除了可以方便隱藏也能輕松穿透防火牆的攔截。
除了隱藏功能不錯外,我的控制功能也是相當的強,包括屏幕控制、視頻控制、文件管理、鍵盤記錄等常見的控制功能。利用視頻控制可以打開遠程的攝像頭,從而捕捉到遠程的視頻信息;利用鍵盤記錄功能可以記錄遠程系統的鍵盤操作,比如賬號和密碼的輸入等。所以要盜你的私人照片並不困難!
手工清除“暗組遠控”病毒
這個病毒很狡猾、很善於隱藏,要捉它要下一番功夫,僅靠殺毒軟件是很難完整恢復系統的。手工查殺方法如下所示:
第一步:首先運行安全工具WSysCheck,點擊“進程管理”標簽後在進程列表中找到顯示為粉紅色的Svchost.exe進程。選中這個進程後會在窗口下方,看到一個名為12345.dll的DLL文件,選中它點擊右鍵中的“卸載模塊”命令(見圖)。
第二步:接著點擊程序的“服務管理”標簽,從服務列表中找到紅色的BITS服務。點擊右鍵菜單中的“定位注冊表項”命令,程序自動跳轉到注冊表管理標簽。選擇注冊表中的ServiceDLL這項,點擊右鍵中的“編輯值”命令,然後在彈出的窗口中將值恢復為系統默認的%SystemRoot%\System32\qmgr.dll。
第三步:然後點擊程序的“文件管理”標簽,在磁盤目錄中依次點擊Windows系統中的System32目錄。找到暗組遠控服務端文件12345.dll後,點擊右鍵中的“直接刪除文件”命令,就能夠成功地將木馬從系統中徹底清除。
From:http://tw.wingwit.com/Article/Network/201309/358.html