返回列表 回復 發帖

Win32.Troj.Unknown.366080病毒

病毒名稱:Win32.Troj.Unknown.366080
  中文名稱:暗組遠控
  病毒類型:木馬程式
  威脅等級:中等
  本期醫生:痛並快樂著
定時關閉端口的Svchost.exe進程
  最近我在論壇中看到網友推薦一款非常好看的播放器,就下載安裝了,在安裝時出現程式錯誤提示,當時以為無法安裝就直接刪除了。沒過幾天,我就在那個論壇上發現了我的一些私人照片。
  我知道電腦中毒了,急忙通知我哥哥,他檢測了我的系統後發現有一個Svchost.exe進程,不但在偷偷地進行數據傳輸,並且還定時關閉傳輸數據的端口。哥哥結束這個進程,沒有想到出現60秒倒計時關機。請問醫生,這個病毒應該怎麼清除?
多重偽裝巧隱藏
  本人綽號“暗組遠程控制2008”, 由於“十八般武藝”樣樣精通,成為駭客進行遠程控制的利器,在“腥風血雨”的網路中佔有一席之地,你的私人照片被盜,就是我的傑作。
  我常常通過檔捆綁、郵件偽裝等方式欺騙用戶並植入系統。由於現在的殺毒軟體都有主動防禦功能,因此當我成功進入到用戶系統以後,修改系統服務描述符表(主動防禦就靠它起作用)讓主動防禦對我在系統中的操作“視而不見”。
  接著,我釋放一個DLL檔到系統中的System32目錄裏面,然後將木馬本身銷毀,將釋放的DLL插入到Svchost.exe進程中,所以一結束Svchost.exe進程就會出現60秒倒計時關機。
  為了可以隨著系統自動啟動,我還設置了一個對應的啟動資訊。我採用的方法和其他木馬不同,它們往往通過新建的服務來進行啟動,而我是對系統的BITS服務資訊(BITS服務是Windows系統自帶的服務之一,可以利用空閒網路帶寬在後臺傳送檔)進行替換,這樣除了可以方便隱藏也能輕鬆穿透防火牆的攔截。
  除了隱藏功能不錯外,我的控制功能也是相當的強,包括螢幕控制、視頻控制、檔管理、鍵盤記錄等常見的控制功能。利用視頻控制可以打開遠程的攝像頭,從而捕捉到遠程的視頻資訊;利用鍵盤記錄功能可以記錄遠程系統的鍵盤操作,比如帳號和密碼的輸入等。所以要盜你的私人照片並不困難!
手工清除“暗組遠控”病毒
  這個病毒很狡猾、很善於隱藏,要捉它要下一番功夫,僅靠殺毒軟體是很難完整恢復系統的。手工查殺方法如下所示:
  第一步:首先運行安全工具WSysCheck,點擊“進程管理”標籤後在進程列表中找到顯示為粉紅色的Svchost.exe進程。選中這個進程後會在窗口下方,看到一個名為12345.dll的DLL檔,選中它點擊右鍵中的“卸載模組”命令(見圖)。

  第二步:接著點擊程式的“服務管理”標籤,從服務列表中找到紅色的BITS服務。點擊右鍵菜單中的“定位註冊表項”命令,程式自動跳轉到註冊表管理標籤。選擇註冊表中的ServiceDLL這項,點擊右鍵中的“編輯值”命令,然後在彈出的窗口中將值恢復為系統默認的%SystemRoot%System32qmgr.dll。
  第三步:然後點擊程式的“檔管理”標籤,在磁片目錄中依次點擊Windows系統中的System32目錄。找到暗組遠控服務端檔12345.dll後,點擊右鍵中的“直接刪除檔”命令,就能夠成功地將木馬從系統中徹底清除。
返回列表