读者反映:鼠标的诡异滑动
这几天我上网后就发现自己的鼠标有些失灵,因为无法对它进行控制操作。本以为是鼠标的接口有些松动而接触不良,可是后来我发现鼠标竟然在屏幕中滑动,好像有另一个人在进行控制一样。我当时怀疑中毒了,于是请了一个懂电脑的邻居帮我查看,经过他检测后,发现系统的Messenger服务被替换了(图1)。请问医生,这是什么病毒造成的?
病毒自述:我要当“带头大哥”
无论是鼠标的诡异滑动,还是Messenger服务被替换,都是由我一手来完成的。首先请允许我进行自我介绍,本人的大名是“DG远程控制”。DG就是大哥的意思,表示我要做国产远控木马的“带头大哥”。
我通过网页木马或文件捆绑,悄悄地进入到用户系统中并运行。运行完成以后,我会在系统的Windows或System32目录中,释放一个DLL文件。文件的名称可以进行自定义设置。然后服务端文件会进行“自我销毁”,避免被用户发现后引起怀疑。
接着,我会新建服务或替换服务,让自己可以随着系统的启动而自动运行。至于到底是新建服务还是替换服务,就看我的主人怎样设置了。不过如果是默认选择的话,我会采取“替换服务”这种启动方法,我就可以替换Messenger服务。Tw.wINGwIT.Com这样既不容易引起用户的注意,也不容易被安全工具检测出来,而且还可以成功地突破杀毒软件的主动防御。
当我忙完上面的这些活以后,就会将自身插入到系统进程Svchost.exe中。之所以选择Svchost.exe系统进程,是因为Windows系统包含了多个Svchost.exe的进程,用户不容易发现其中的一个有问题。现在我开始自动连接黑客的电脑,连接成功后接受黑客的远程控制指令。我有屏幕控制、视频监视、音频监听、文件管理等功能,其中屏幕控制功能是我最自豪的。因为我的这个功能是目前国产远控中,速度最快、效果最好的。
本期医生:修复服务清除病毒文件
DG远程控制病毒虽然采用了各种隐藏方法,但却逃不过我的“火眼金睛”,要清除它只不过是弹指间的事。具体地清除方法如下:
第一步:首先运行安全工具WSysCheck,点击“进程管理”标签可以看到一个粉红色的Svchost.exe进程,这就是被木马线程插入的进程(图2)。从图中我们可以看到,这个木马默认的名称为12345.dll,但也有可能是其他的名称内容信息。现在选择这个被利用的进程,通过鼠标右键中的“结束这个进程”命令来终止它。
第二步:接着点击程序的“服务管理”标签,会看到一个红色的Messenger系统服务,说明这个系统服务已经被木马进行修改。选择被修改的Messenger服务后,点击右键中的“定位注册表项”,然后在出现的窗口选中Messenger服务中的Parameters项,然后双击窗口中的ServiceDLL,将内容替换为系统默认的%SystemRoot%\System32\msgsvc.dll或直接删除即可。
第三步:然后点击“文件管理”标签,在模拟的资源管理器窗口中,在系统的Windows或System32目录中,找到12345.dll这个文件后点击右键选择菜单中的“删除选中的服务”命令即可。
小知识:病毒为什么要替换系统服务?
很多病毒会替换系统服务,之所以这么做是想利用Windows系统的Svchost.exe进程。Svchost.exe经常通过读取系统服务的注册表信息,就可知道应该调用哪个动态链接文件。修改系统服务后,病毒可以利用Svchost.exe进程启动病毒。另外,不少安全工具在检测时常常会过滤系统服务而不进行检查,给病毒可乘之机。
From:http://tw.wingwit.com/Article/Network/201311/10985.html