冰刃大战幻影木马
网络安全
读者反映:7862端口很可疑
最近一段时间,我的系统运行非常不稳定。在对系统目录进行检测后,发现了一个名为Hy.Ini的可疑文件。用记事本打开该文件,发现里面有很多内容,感觉好像是一些配置信息,但是我不知道这些信息是干什么用的。
除了发现这个可疑文件以外,我还发现系统中的Winlogon进程,正在连接远程系统的7862端口(如图1)。这些问题让我非常苦恼,不知道这是不是造成我系统不稳定的原因?Winlogon进程使用7862端口干什么?
病毒自述:我靠RootKit“吃饭”
无论是连接远程系统的端口,还是系统中的hy.Ini文件,都是我幻影RootKit木马的杰作。知道什么是RootKit吗?
RootKit集间谍程序、病毒,以及木马等一系列特性于一身,功能更加强大,隐藏性更好。它利用操作系统的模块化技术,作为系统的一部份运行,有些RootKit还可以替换DLL文件。
我常常通过网页木马、文件捆绑等方式,悄悄进入用户的操作系统。进入系统以后,我会自动分解为Dmscript4653.dll、Cmo.Exe、Hy.ini等多个文件。而Hy.Ini文件中的内容信息,就是黑客在配置我的时候,所设置的相关内容信息,包括连接端口、连接地址、正向或反向连接等。
当Dmscript4653.Dll读取Hy.Ini中的配置信息以后,就会插入到一个系统进程之中来连接远程端口7862,这个端口就是我默认使用的。当我成功连接以后,黑客就可以进行文件管理、屏幕监控等操作。除此以外,我还会不定时地弹出一些网页广告,不然怎么会说RootKit集多种特色于一身呢?
本期医生:轻松干掉幻影木马
你敢亮剑我就敢接招,一个小小的RootKit没什么可怕的,用《冰刃》几步就能搞定它,清除幻影木马就这么简单。
第一步:首先运行《冰刃》,点击工具栏中“进程”按钮,在进程列表找到Winlogon进程后,点击右键选择菜单中的“模块信息”命令。然后在“进程模块信息”窗口找到Dmscript4653.dll,点击窗口中的“卸除”按钮即可(如图2)。
第二步:接着点击《冰刃》的“注册表”按钮,在模拟的注册表窗口找到如下的内容:HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Win dows。其中有一个名为AppInit_DLLs的项目,系统默认这个项目的内容为空,但现在已经被木马写入数据(如图3)。点击右键选择菜单中的“编辑”按钮,在编辑窗口将其中的数据删除即可。
第三步:点击《冰刃》的“文件”按钮,进入系统的System32目录里面,分别找到Dmscript4653.dll、Hy.Ini和Cmo.Exe三个文件,点击鼠标右键选择“删除”即可(如图4),重新启动系统就完成了幻影木马的清除工作。
小提示:现在马上就要过春节了,大家各种各样的琐事很多,很难顾及到自己的系统安全。但是这段时间又正好是病毒的高发期,因此大家上网后最好首先升级杀毒软件病毒库,也不要登录不熟悉的网站,也不要从不熟悉的网站下载文件。