首页 > 单独文章 > 正文

DarkstRat远控木马的清除方法

时间:2008-09-14 08:12:30 作者:officeba 【认证】

病毒名称:win32.pswtroj.onlinegames.464384

中文名称:DarkstRat远控木马

病毒类型:后门病毒

病毒目的:远程控制用户电脑

名称怪异的DLL文件

最近我经常发现ADSL上面的等不停地闪烁,就算什么也不干也会出现这样的情况,凭着5年的电脑使用经验我怀疑电脑有问题,于是对系统进行了检测。用安全辅助工具检测时发现一个陌生且可疑的System64.dll,这个名称太怪了(系统DLL文件好像没有这样取名字的)。随后我看到该文件竟然有微软的标志,到底这个文件是不是真的存在,我拿不准,请问该怎么办?

远程监控用户一举一动

我叫DarkstRat远控木马。为了更好地隐藏,我对服务端文件进行了伪装——在文件属性里面“烙上”了Microsoft字样,这样安全工具就不敢随便清除我了。

但我进入系统后,会在系统的System32目录里释放两个木马文件,分别是System64.dllSystem64.ddt。其中System64.dll是我的功能文件,用来接受和执行主人的指令,而System64.ddt是我的配置文件,进行过加密处理,里面记录了我入侵后要链接的IP地址和端口。

释放完文件后,我立马将System64.dll文件插入到Svchost.exe进程中。接着,我就替换了系统的BITS服务。BITS是系统默认启动的服务,通过它可以使用空闲网络带宽在后台传送文件。除此之外,替换BITS服务还可以躲过杀毒软件的主动防御以及穿透网络防火墙。

在用户电脑上安营扎寨后,我就跟主人联系,他通过我就可以控制用户的电脑,例如主人点击“视频监视-获取摄像头”按钮,我就立即检查用户是否安装有摄像头,如果有的话主人点击“自动获取”按钮就可以看到被远程监控用户的一举一动了。

清除被窜改的服务

DarkstRat远控木马,不要以为穿着微软的“马甲”就没有人认识你了,要清除你还不是手到擒来的事情。

第一步:首先运行《金山清理专家》,打开“进程管理器”。点击列表中的“进程标志符”,这时程序会按照PID数值对进程进行排序。接着选中PID数值最大的Svchost.exe(病毒插入Svchost.exe后导致PID数值成为所有的Svchost.exe中最大的),这时在模块列表中可以看到一个蓝色的System64.dll,点击“结束选中进程”按钮即可。

第二步:接着进入“文件粉碎器”,点击窗口中的“添加文件”按钮,然后在系统的System32目录里面,选中木马文件System64.dll和System64.ddt,点击“彻底删除”按钮即可删除木马文件。

第三步:然后点击“恶意软件查杀-恶意文件”,这时程序会分析出一个“异常的BITS服务”,选中该启动服务项,单击下面的“清除选定项”按钮,就可以成功修复被木马窜改的BITS服务。

最后重新安装杀毒软件并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。


相关文章

同类最新