返回列表 回復 發帖

如何清除紅狼木馬

最近有個網友通過QQ給我發了一個網頁鏈接,因為QQ給這個鏈接顯示了綠色盾牌,因此就直接點擊,可是隔天上網後發現我的遊戲裝備被盜了。於是把這件事給同事說了,他感到很驚訝:“你的殺毒軟體有主動防禦功能,正常情況下當木馬向系統或註冊表添加資訊的時候,主動防禦都會彈出相應的提示窗口,難道你的殺毒軟體沒有任何提示嗎?”

  在檢查了我的電腦後,他告訴我主動防禦沒有報警的記錄。此外在進程管理器中他發現svchost.Exe進程老是向外發送數據。請問醫生,這木馬是怎麼進入我電腦中的?我該怎麼清除它?
病毒自述:我的眼中沒有主動防禦

  我是一匹孤獨的紅狼,近期在網上獨自作案。沒錯,就是我害的你,記住我的大名——“紅狼遠控”,帥得能繞過主動防禦的“狼”!
  由於我本身屬於一款木馬程式,因此主要還是通過網頁木馬、檔捆綁等方式來進行傳播的。當我進入到遠程用戶的系統中後,首先自動恢復Windows系統的SSDT,這樣就可以保證殺毒軟體的主動防禦立刻失效。接著我們自身會釋放一個svchost.Dll檔到系統中的System32目錄裏面。
  小提示:SSDT中文名為“系統服務描述符表”,殺毒軟體的主動防禦功能,就是通過它來改變程式的運行規則,從而對程式的可疑行為進行判斷和警告的。
  然後svchost.Dll檔會自動插入到svchost.Exe進程中,從而利用這個進程來連接遠程的客戶端程式,此外還會在系統服務中添加一個新的服務,便於以後我隨機啟動。當連接成功以後就可以通過客戶端程式進行檔管理、桌面查看、鍵盤記錄等操作。
  我的鍵盤記錄功能可以記錄各種各樣的帳號和密碼資訊,還支持離線鍵盤消息記錄,這樣當連接成功後就可以立即查看不線上時用戶的鍵盤操作。
本期醫生:殺破這只“狼”
  這個木馬雖然能繞過主動防禦,但並不是消滅不了它,下麵我就教大家如何清除這個可惡的木馬。
  第一步:首先運行安全工具WSysCheck(軟體下載地址:http://www.cpcw.com/bzsoft),點擊“進程管理”標籤,在進程列表找到一個粉紅色的svchost.Exe進程。由於木馬採用了進程保護措施,通過常見的進程結束命令行不通,因此選擇右鍵菜單中的“禁止選擇的程式運行”命令(圖1)。

  第二步:這時系統可能會出現假死等不穩定的情況,不過重新啟動一下系統就可以了。接著點擊程式的“服務管理”標籤,從服務列表中找到一個名為IPRIP的服務,這就是“紅狼遠控”的啟動項。點擊右鍵菜單中的“刪除選中的服務”命令即可將它清除(圖2)。

  第三步:然後點擊程式的“檔管理”標籤後,在程式模擬的資源管理器窗口中,來到Windows系統中的System32目錄。找到“紅狼遠控”的服務端檔svchost.Dll後,點擊右鍵菜單中的“直接刪除檔”命令就能將木馬徹底清除(圖3)。

  最後大家還需要重新安裝一次殺毒軟體,這樣主動防禦功能才會重新啟用。另外提醒大家一定要加強自己的防範意識,不要隨意地點擊其他人發來的網路鏈接,因為這些可能就是插入了網頁木馬的鏈
返回列表