最近以cgx,zbz,a gill为代表的娱乐界狠狠地输出了一下价值观阿,嗯,挺好。但是一小撮流氓团伙借机发布带木马的假视频,很不和谐~!昨天就有哥们中招了,于是简单看了一下。
其特征是:
1.会生成一个服务,服务名为SYSTEM,描述为:系统自带的一款清理磁盘工具
2.C:/Program Files目录下生成sachost.exe,还有setupway.txt
3.C:/Program Files/Common Files/Microsoft Shared/MSInfo目录下生成_sachost.exe
4.在任务管理器里能看到一个IExplore.exe的进程以及一个svchost.exe的进程。svchost.exe的进程比较多,大部分都是系统启动的,其用户名是当前登陆用户的那个是马!
删除的方法:
1.用icesword禁用创建进程,然后Kill掉IExplore和svchost那个进程。不会用icesword的话,在任务管
理器里,动作迅速一点,调整好位置Kill这俩进程也可以。要迅速!
2.然后去上面提到的相应目录删除文件。
3.删除SYSTEM服务。我是2003 Server,可以用“sc delete SYSTEM命令”删除。很多其它软件也可以删
除服务。
其行为没弄太清楚,它试图获取http://user.free2.77169.net/nihaoma57/ip.txt,结果返回503错误,算了!