专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 杀毒 | Win7 添加 WWW.SQ120.COM 到收藏夹

首页

菜鸟学堂

DIY乐园

故障专题

网络专区

软件专区

硬件专区

在线答疑
  您现在的位置: 首页>>网络专区>>新闻 >> DG远程控制木马

DG远程控制木马

日期:2009-11-17 13:30:39     点击:

 

       读者反映:鼠标的诡异滑动

  这几天我上网后就发现自己的鼠标有些失灵,因为无法对它进行控制操作。本以为是鼠标的接口有些松动而接触不良,可是后来我发现鼠标竟然在屏幕中滑动,好像有另一个人在进行控制一样。我当时怀疑中毒了,于是请了一个懂电脑的邻居帮我查看,经过他检测后,发现系统的Messenger服务被替换了(图1)。请问医生,这是什么病毒造成的?

病毒自述:我要当“带头大哥”
  无论是鼠标的诡异滑动,还是Messenger服务被替换,都是由我一手来完成的。首先请允许我进行自我介绍,本人的大名是“DG远程控制”。DG就是大哥的意思,表示我要做国产远控木马的“带头大哥”。
  我通过网页木马或文件捆绑,悄悄地进入到用户系统中并运行。运行完成以后,我会在系统的Windows或System32目录中,释放一个DLL文件。文件的名称可以进行自定义设置。然后服务端文件会进行“自我销毁”,避免被用户发现后引起怀疑。
  接着,我会新建服务或替换服务,让自己可以随着系统的启动而自动运行。至于到底是新建服务还是替换服务,就看我的主人怎样设置了。不过如果是默认选择的话,我会采取“替换服务”这种启动方法,我就可以替换Messenger服务。这样既不容易引起用户的注意,也不容易被安全工具检测出来,而且还可以成功地突破杀毒软件的主动防御。
  当我忙完上面的这些活以后,就会将自身插入到系统进程Svchost.exe中。之所以选择Svchost.exe系统进程,是因为Windows系统包含了多个Svchost.exe的进程,用户不容易发现其中的一个有问题。现在我开始自动连接黑客的电脑,连接成功后接受黑客的远程控制指令。我有屏幕控制、视频监视、音频监听、文件管理等功能,其中屏幕控制功能是我最自豪的。因为我的这个功能是目前国产远控中,速度最快、效果最好的。
本期医生:修复服务清除病毒文件
  DG远程控制病毒虽然采用了各种隐藏方法,但却逃不过我的“火眼金睛”,要清除它只不过是弹指间的事。具体地清除方法如下:
  第一步:首先运行安全工具WSysCheck,点击“进程管理”标签可以看到一个粉红色的Svchost.exe进程,这就是被木马线程插入的进程(图2)。从图中我们可以看到,这个木马默认的名称为12345.dll,但也有可能是其他的名称内容信息。现在选择这个被利用的进程,通过鼠标右键中的“结束这个进程”命令来终止它。

  第二步:接着点击程序的“服务管理”标签,会看到一个红色的Messenger系统服务,说明这个系统服务已经被木马进行修改。选择被修改的Messenger服务后,点击右键中的“定位注册表项”,然后在出现的窗口选中Messenger服务中的Parameters项,然后双击窗口中的ServiceDLL,将内容替换为系统默认的%SystemRoot%\System32\msgsvc.dll或直接删除即可。

  第三步:然后点击“文件管理”标签,在模拟的资源管理器窗口中,在系统的Windows或System32目录中,找到12345.dll这个文件后点击右键选择菜单中的“删除选中的服务”命令即可。
小知识:病毒为什么要替换系统服务?
  很多病毒会替换系统服务,之所以这么做是想利用Windows系统的Svchost.exe进程。Svchost.exe经常通过读取系统服务的注册表信息,就可知道应该调用哪个动态链接文件。修改系统服务后,病毒可以利用Svchost.exe进程启动病毒。另外,不少安全工具在检测时常常会过滤系统服务而不进行检查,给病毒可乘之机。

 

相关新闻
 
了解JS挂马方式 如何防止视频漏洞攻击
在线看小说当心中毒 吸血鬼病毒查杀
如何利用ActiveX挂马 windows蓝屏的原因
如何防止买到假火车票 如何防止arp攻击
qq防盗注意事项 如何给木马加壳
什么是病毒副本 斑点狗病毒是什么
Realplayer漏洞需注意 什么是硬件黑客
盗号木马工作原理
 
搜索排行
热门知识

本站专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 其他
电脑知识网 版权所有 严禁转载本站文章 违者追究法律责任
业务联系 TEL:13951366782
苏ICP备05048721号