雖然通過系統的NET SEND命令可以發送信息,但我早已經將系統的Messenger服務停止了,所以不可能接受到使用這種方式傳送的信息。升級殺毒軟件的病毒庫,以求查殺這個木馬。可令我失望的是,一個病毒也沒有查到。
查找木馬線索
既然懷疑是木馬搗鬼,我開始查找可能的蛛絲馬跡。首先打開命令提示符,輸入命令netstat -ano後查看結果,結果發現系統開放了一個4466的TCP可疑端口。為了了解是什麼程序開放的這個端口,我馬上上網通過搜索引擎進行查找,結果一無所獲。於是懷疑可能是某種全新的木馬程序,因為現在的木馬程序很多都包括自定義端口的選項。
我從剛才的結果中得知,開放這個端口進程的PID是1844。於是馬上調出Windows 任務管理器,從進程列表中找到PID為1844的進程,進程名稱是svch0st.exe。表面上看svch0st.exe和常見的系統進程svchost.exe差不多,但入侵者利用普通用戶對系統進程的不了解,利用阿拉伯數字1和0,來代替英文字母I和O,使我差點誤認為svch0st.exe是系統進程。Tw.WIngwiT.Com
From:http://tw.wingwit.com/Article/Network/201309/929.html