近日,一款名為Dynamer的木馬病毒被McAfee發(fā)現(xiàn)利用Win7/Win8.1/Win10的“上帝模式”為非作歹,為攻擊者大開受害系統(tǒng)后門,從而實(shí)現(xiàn)遠(yuǎn)程操控的目的,而且這款木馬很難清除,可能上帝也很無奈……
這款木馬早在2010年就在微軟惡意軟件防控中心掛名上榜,最近新的活動又讓它刷出了存在感。該木馬進(jìn)入目標(biāo)設(shè)備后,通過修改注冊表的方式達(dá)到保持開機(jī)啟動的目的。值得注意的是,該注冊表“修改版”包含上帝模式標(biāo)準(zhǔn)代碼段“{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”,能夠從“上帝模式”中啟動遠(yuǎn)程桌面連接,具體鍵值如下:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
可以看到,“上帝模式”前綴(GodMode,可自定義修改)被修改為“com4”。根據(jù)McAfee實(shí)驗(yàn)室研究員Craig Schmugar的描述,這一名稱能夠很好地避免木馬所在目錄被清理,因?yàn)?strong>系統(tǒng)會把它當(dāng)做設(shè)備來對待,甚至連用戶本身都很難通過文件資源管理器和命令等傳統(tǒng)方式來刪除它。
不過,魔高一尺,道高一丈。想要清理這個悍匪也不必向上帝祈禱,只需在“命令提示符”管理員模式下執(zhí)行如下命令就可以將其擊斃(如果你發(fā)現(xiàn)木馬在其他位置,將其中的“\\.\%appdata%\&;更換為木馬實(shí)際所在路徑即可):
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
相關(guān)推薦:
怎么阻止和預(yù)防Dyreza木馬攻擊Win10和Edge?
Win10系統(tǒng)安裝成功后怎么設(shè)置SATA硬盤AHCI模式?
Win7 32位系統(tǒng)下防止u盤自行啟動木馬的三個有效措施