这篇文章主要介绍了Win10如何使用上帝模式清除Dynamer的木马病毒,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。
近日,一款名为Dynamer的木马病毒被McAfee发现利用Win7/Win8.1/Win10的“上帝模式”为非作歹,为攻击者大开受害系统后门,从而实现远程操控的目的,而且这款木马很难清除,可能上帝也很无奈……
这款木马早在2010年就在微软恶意软件防控中心挂名上榜,最近新的活动又让它刷出了存在感。该木马进入目标设备后,通过修改注册表的方式达到保持开机启动的目的。值得注意的是,该注册表“修改版”包含上帝模式标准代码段“{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”,能够从“上帝模式”中启动远程桌面连接,具体键值如下:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
可以看到,“上帝模式”前缀(GodMode,可自定义修改)被修改为“com4”。根据McAfee实验室研究员Craig Schmugar的描述,这一名称能够很好地避免木马所在目录被清理,因为系统会把它当做设备来对待,甚至连用户本身都很难通过文件资源管理器和命令等传统方式来删除它。
不过,魔高一尺,道高一丈。想要清理这个悍匪也不必向上帝祈祷,只需在“命令提示符”管理员模式下执行如下命令就可以将其击毙(如果你发现木马在其他位置,将其中的“\\.\%appdata%\”更换为木马实际所在路径即可):
> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
感谢你能够认真阅读完这篇文章,希望小编分享的“Win10如何使用上帝模式清除Dynamer的木马病毒”这篇文章对大家有帮助,同时也希望大家多多支持恰卡编程网,关注恰卡编程网行业资讯频道,更多相关知识等着你来学习!