当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
一次艰难查杀木马过程 | |||
2006-8-2 10:38:03 文/佚名 出处:电脑软硬件应用网 | |||
我网上查了下该木马,认识了下该木马特点, Searchnet.exe程序名称:中搜地址 该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。 一、隐藏文件 该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。 资源管理器下没有发现SearchNet文件夹 用IceSword能发现SearchNet文件夹 资源管理器下没有发现其驱动文件 用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys 二、隐藏进程 该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe 任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程 三、隐藏注册表 该木马隐藏了与其相关的所有注册表项: 用Regedit无法查看其注册表启动项 四、监视用户操作 该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。 五、自我保护,自我修复 该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除! 六、网络访问与后台升级 该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。 七、卸载欺骗 该木马提供一个虚假的卸载方式,来欺骗用户。 我汗这么强悍的木马啊,有点想PS,驱动级木马啊,网上有人提供了删除木马的方法, 多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。 单系统用户可以使用unlocker强制删除,他的是一个系统,第1个方法不可取,第2个我试了,重起电脑仍然出现,突然间想到,windows权限依赖性,我晕,我同学的是FAT分区格式,给他转为NTFS,方法是convert c :/fs:ntfs,这样把C盘换为NTFS格式了,然后把C:\Program Files\searchnet 文件夹的权限全部禁用,首先打开我的电脑,点击:工具—文件夹选项-查看,把“使用简单文件共享”前面的钩去掉,这样文件的安全选项就出现了,右击searchnet 文件夹点属性,找到安全,把里面的权限全部去掉,
|
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |