我的机器受到了木马的攻击,该木马在 netsvcs svchost 进程中表现为服务。可以使用进程资源管理器将此进程标识为“svchost -k netsvcs”。
我的机器被感染的症状是:
1. 使用 ethereal 我可以看到从我的机器到不同网站(如 ESPN 和在线音乐流媒体)的不间断 HTTP 流量。
2. 通常在 10 到 15 分钟内,Watson 博士会弹出一个对话框,指示通用主机进程失败。
3. 进程资源管理器显示进程“svchost -k netsvcs”占用了 100% 的 CPU。
4. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 中的文件被进程“svchost -k netsvcs”锁定。
以下是我为确定罪魁祸首究竟是哪个服务所做的工作。
可以在以下注册表位置获取 Windows 将在 netsvcs svchost 容器中启动时运行的服务列表:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs。MULTI_REG_SZ 值中的每个字符串都是位于以下位置的服务的名称:HKLM\SYSTEM\CurrentControlSet\Services。
对于 netsvcs 中列出的每个服务,我在 SvcHost 中创建了一个不同的条目,然后更新了服务的 ImagePath 以指示该服务现在应该在哪个 svchost 下运行。
例如 - 要在它自己的 svchost 下运行服务 AppMgmt,我们将执行以下操作:
1. 在 SvcHost 下创建一个名为“appmgmt”的新多字符串值,其值为“AppMgmt”。
2. 在 SvcHost 下创建一个名为“appmgmt”的新密钥,其值与“netsvcs”下的值相同(通常为 REG_DWORD:AuthenticationCapabilities=12320 和 REG_DWORD:CoInitializeSecurityParam=1)。
3. 在 …