问:对电脑还是有一些了解的,最近系统运行非常不稳定。因此对系统目录进行自查,发现了一个名为Hy.Ini的可疑文件。用记事本打开该文件,发现里面有很多内容,感觉好像是一些配置信息,但是我不知道这些信息是干什么用的。除了发现这个可疑文件以外,我还发现系统中的Winlogon进程,正在连接远程系统的7862端口。这些问题让我非常苦恼,不知道这是不是造成我系统不稳定的原因?Winlogon进程使用7862端口干什么?
答:无论是连接远程系统的端口,还是系统中的hy.Ini文件,都是幻影RootKit木马的杰作。RootKit集间谍程序、病毒,以及木马等一系列特性于一身,功能更加强大,隐藏性更好。它利用操作系统的模块化技术,作为系统的一部分运行,有些RootKit还可以替换DLL文件。常常通过网页木马、文件捆绑等方式,悄悄进入用户的操作系统。进入系统以后,会自动分解为Dmscript4653.dll、Cmo.Exe、Hy.ini等多个文件。而Hy.Ini文件中的内容信息,就是黑客在配置的时候,所设置的相关内容信息,包括连接端口、连接地址、正向或反向连接等。
当Dmscript4653.Dll读取Hy.Ini中的配置信息以后,就会插入到一个系统进程之中来连接远程端口7862,这个端口就是默认使用的。当成功连接以后,黑客就可以进行文件管理、屏幕监控等操作。除此以外,还会不定时地弹出一些网页广告,不然怎么会说RootKit集多种特色于一身呢?用《冰刃》几步就能搞定它。
1)首先运行《冰刃》,点击工具栏中“进程”按钮,在进程列表中找到Winlogon进程后,点击右键选择菜单中的“模块信息”命令。然后在“进程模块信息”窗口中找到Dmscript4653.dll,点击窗口中的“卸除”按钮即可。
2)接着点击《冰刃》的“注册表”按钮,在模拟的注册表窗口中找到如下的内容:HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Windows,其中有一个名为AppInit_DLLs的项目,系统默认这个项目的内容为空,但现在已经被木马写入数据。点击右键选择菜单中的“编辑”按钮,在编辑窗口将其中的数据删除即可。
3)点击《冰刃》的“文件”按钮,进入系统的System32目录里面,分别找到Dmscript4653.dll、Hy.Ini和Cmo.Exe三个文件,点击鼠标右键选择“删除”即可,重新启动系统就完成了幻影木马的清除工作了。
,怎样用冰刃查杀幻影RootKit木马