跳到主要內容

木馬的行為介紹-Svchost

木馬的行為介紹-Svchost



過年前我差點被這隻木馬搞瘋

一直出現 Svchost.exe訊息,上網時變的十分龜速,在windows\temp裡,竟然造成一堆垃圾,佔有 502 MB

之多,刪不掉,殺掉又會重生,殺到我手軟,簡直是「陰魂不散」---我判定大概是病毒搞的鬼---於是:



用NOD32掃,抓不到,用

AVG Anti-Spyware 7.5.0.50也偵測不到,最後乾脆用搜尋的,找到了兩隻,一隻在windows\裡,另

一隻在windows\system32\裡,無法判定哪一隻是對的,跑去別人家找,原來正確的是在windows\system32里

搞怪的就在windows\裡的這一隻,用刪的,刪不掉,用 Unlock,說重新開機後會刪,結果開機後,依然存在

,再刪它,依然不動如山,真氣死我也!最後用 Ghost才解決問題。

後來找到了這篇,才得知它是令人討厭的「木馬」,提供大家參考:



1. Svchost這支木馬跟系統中預設的程式Svchost.exe名稱一模一樣,目前在網路

上查不到任何的資訊,也就是在一些安全軟體的木馬資料中並沒有它的特徵

值,所以無法偵測到它的存在。也因它的名稱是用系統中原本就有的檔案名

稱,一般使用者很難去查覺。

2. 它會將本身程式(Svchost.exe)放在c:\windows中,正常的Svchost是存放在

c:\windows\system32中。

3. 它會主動用80-Port連線至下列的IP:

61.220.57.10

61.221.104.67

如何清除Svchost

1. 查看Registry中是否有下列任一機碼,如果有的話請將它刪除:

[HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

「Svchost.exe」=」c:\windows\Svchost.exe」

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

「Svchost.exe」=」c:\windows\Svchost.exe」

[HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

「Svchost.exe」=」c:\windows\Svchost.exe」

2. 將機碼刪除重新開機後,將Services.exe這個檔案刪除。

註:一定要先刪機碼並重新開機後,才可刪除該檔案。

留言

這個網誌中的熱門文章

WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理) Domain 2. Asset Security   盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering   時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security   處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM)   I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing   查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations   日常維運、持續改善(安全維運) Domain 8. Software Development Security   時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的

[補充]Common Attacks

  參考來源: Wuson - Common-attacks  , Wiki 如翻譯或解釋有誤,歡迎提出更正。 Brute force: 蠻力攻擊 (英語:Brute-force attack) ,又稱為 窮舉攻擊 (英語:Exhaustive attack)或 暴力破解 ,是一種 密碼分析 的方法,即將密碼進行逐個推算直到找出真正的密碼為止。 Advanced Persistent Threat (APT) :高級長期威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。 Multi-vector, polymorphic attacks Buffer Overflows: 緩衝區溢位 (buffer overflow),在 電腦學 上是指標對 程式設計 缺陷,向程式輸入 緩衝區 寫入使之溢位的內容(通常是超過緩衝區能儲存的最巨量資料量的資料),從而破壞程式執行、趁著中斷之際並取得程式乃至系統的控制權。 Mobile Code: ActiveX, JavaApplet, Flash, JavaScript Malicious Software (Malware) Drive-by download attacks: 路過式下載 ,網頁掛馬攻擊 (Drive-by Downloads) Spyware Trojan Horse Keyloggers Password Crackers Spoofing欺騙 Masquerading,偽裝 Sniffers,竊聽 Eavesdropping,竊聽(隔牆有耳) Tapping,竊聽 Emanations 流出 and TEMPEST Spontaneous emission of electromagnetic radiation” (EMR) subject to TEMPEST eavesdropping 受 TEMPE

低調的大提琴

低調的大提琴 靜靜默默的歌唱 在無人發現的角落 獨自低鳴 低調的大提琴 沉溺於寂靜旋律 在月光灑落的夜晚 與蟲鳴交響 低調的大提琴 在漆黑中死去 在幾個世紀後才被發現 卻未曾留在任何人心中 低調的大提琴 不善言語表達 用它的靈魂唱出心情 在人們仔細聆聽下綻放光彩