officeba > 单独文章


清除“DG远程控制木马”

病毒名称:Win32.Troj.OnLinesGameT.uv.90112

中文名称:DG远程控制木马

病毒类型:木马

病毒目的:远程控制中毒者

鼠标的诡异滑动

这几天我上网后就发现自己的鼠标有些失灵,因为无法对它进行控制操作。本以为是鼠标的接口有些松动而接触不良,可以后来我发现鼠标竟然在屏幕中滑动,好像有另一个人在进行控制一样。我当时怀疑中毒了,于是请一个懂电脑的邻居帮我查看,经过他的检测后,发现系统的Messenger服务被替换了。请问:这是生命病毒造成的?

我要当“带头大哥”

无论是鼠标的诡异滑动,还是Messenger服务被替换,都是我一手来完成的。首先请允许我进行自我介绍,本人的大名是“DG远程控制”。DG就是大哥的意思,表示我要做国产远程控制木马的“带头大哥”。

我通过网页木马或文件捆绑,悄悄地进入到用户系统中并运行。运行完成以后,我会在系统的Windows或System32目录中,释放一个DLL文件。文件的名称可以进行自定义设置。然后服务器文件会进行“自我销毁”,避免被用户发现后引起怀疑。

接着,我会新建服务或替换服务,让自己可以随着系统的启动而自动运行。至于到底是新建服务还是替换服务,就看我的主人怎样设置了。不过如果是默认选择的话,我会采取“替换服务”这种启动方式,我就以替换Messenger服务。这样既不容易引起用户的注意,也不容易被安全工具检测出来,而且还可以成功地突破杀毒软件的主动防御。

当我忙完上面的这些活以后,就会将自身插入到系统进程Svchost.exe中。之所以选择Svchost.exe系统进程,是因为Windows系统包含多个Svchost.exe的进程,用户不容易发现其中的一个有问题。现在我开始主动链接黑客的电脑,链接成功后接受黑客的远程控制指令。我有屏幕控制,视频控制、音频监听、文件管理等功能,其中屏幕控制功能是我最自豪的。因为我的这个功能在目前国产远程控制中,速度最快、效果最好。

修复服务,清除病毒文件

DG远程控制病毒虽然采用了各种隐藏方法,但却逃不过我的“火眼金睛”,要清除它只不过是弹指间的事,具体清除步骤如下:

第一步:首先运行安全工具WSysCheck,点击“进程管理”标签可以看到一个粉红色的Svchost.exe进程,这就是被木马线程插入的进程。从图中我们可以看到,这个木马默认的名称为12345.dll,但也有可能是其他的名称内容信息。现在选择这个被利用的进程,通过鼠标右键中的“结束这个进程”命令来终止它。

第二步:接着点击程序的“服务管理”标签,会看到一个红色的Messenger系统服务,说明这个系统服务已经被木马进行修改。选择被修改的Messenger服务后,点击右键中的“定位注册表项”,然后在出现的窗口选中Messenger服务服务中的Parameters项,然后双击窗口中的ServiceDLL,将内容替换为系统默认的%SystemRoot%\System32\msgsvc.dll或直接删除即可。
第三步:然后点击“文件管理”标签,在模拟的资源管理器窗口中,在系统的Windows或System32目录中,找到12345.dll这个文件后点击右键选择菜单中的“删除选中的服务”命令即可。

小知识:病毒为什么要替换系统服务?

很多病毒会替换系统服务,之所以这么做是想利用Windows系统中的Svchost.exe进程。Svchost.exe经常通过读取系统服务的注册表信息,就可知道应该调用哪个动态连接文件。修改系统服务后,病毒可以利用Svchost.exe进行启动病毒。另外,不少安全工具在检测时常常会过滤系统服务而不进行检查,给病毒可乘之机。


声明:欢迎各大网站转载本站文章,还请保留一条能直接指向本站的超级链接,谢谢!

时间:2008-05-06 08:25:31,点击:65824


【OfficeBa论坛】:阅读本文时遇到了什么问题,可以到论坛进行交流!Excel专家邮件:342327115@qq.com(大家在Excel使用中遇到什么问题,可以咨询此邮箱)。

【声明】:以上文章或资料除注明为Office自创或编辑整理外,均为各方收集或网友推荐所得。其中摘录的内容以共享、研究为目的,不存在任何商业考虑。如有任何异议,请与本站联系,本站确认后将立即撤下。谢谢您的支持与理解!


相关评论

我要评论

评论内容