近日,一款名为Dynamer的木马病毒被McAfee发现利用Win7/Win8.1/Win10的“上帝模式”为非作歹,为攻击者大开受害系统后门,从而实现远程操控的目的,而且这款木马很难清除,可能上帝也很无奈……
这款木马早在2010年就在微软恶意软件防控中心挂名上榜,最近新的活动又让它刷出了存在感。该木马进入目标设备后,通过修改注册表的方式达到保持开机启动的目的。值得注意的是,该注册表“修改版”包含上帝模式标准代码段“{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”,能够从“上帝模式”中启动远程桌面连接,具体键值如下:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
lsm = C:UsersadminAppDataRoamingcom4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}lsm.exe
可以看到,“上帝模式”前缀(GodMode,可自定义修改)被修改为“com4”。根据McAfee实验室研究员Craig Schmugar的描述,这一名称能够很好地避免木马所在目录被清理,因为系统会把它当做设备来对待,甚至连用户本身都很难通过文件资源管理器和命令等传统方式来删除它。
不过,魔高一尺,道高一丈。想要清理这个悍匪也不必向上帝祈祷,只需在“命令提示符”管理员模式下执行如下命令就可以将其击毙(如果你发现木马在其他位置,将其中的“.\%appdata%”更换为木马实际所在路径即可):
> rd “.\%appdata%com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q