狡猾的木馬！Win10系統(tǒng)“上帝模式”木馬難查殺

　　據(jù)悉，Win10系統(tǒng)“上帝模式”木馬最近又出現(xiàn)在人們的視線中，該木馬名為Dynamer。攻擊者利用該木馬侵入用戶系統(tǒng)后門(mén)，遠(yuǎn)程操控。且木馬相當(dāng)狡猾，通過(guò)修改前綴來(lái)避免所在目錄被清理，查殺非常困難。

　　這款木馬早在2010年就在微軟惡意軟件防控中心掛名上榜，最近新的活動(dòng)又讓它刷出了存在感。該木馬進(jìn)入目標(biāo)設(shè)備后，通過(guò)修改注冊(cè)表的方式達(dá)到保持開(kāi)機(jī)啟動(dòng)的目的。值得注意的是，該注冊(cè)表“修改版”包含上帝模式標(biāo)準(zhǔn)代碼段“{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”，能夠從“上帝模式”中啟動(dòng)遠(yuǎn)程桌面連接，具體鍵值如下：

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　lsm = C：\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

　　可以看到，“上帝模式”前綴（GodMode，可自定義修改）被修改為“com4”。根據(jù)McAfee實(shí)驗(yàn)室研究員Craig Schmugar的描述，這一名稱能夠很好地避免木馬所在目錄被清理，因?yàn)橄到y(tǒng)會(huì)把它當(dāng)做設(shè)備來(lái)對(duì)待，甚至連用戶本身都很難通過(guò)文件資源管理器和命令等傳統(tǒng)方式來(lái)刪除它。

　　不過(guò)，魔高一尺，道高一丈。想要清理這個(gè)悍匪也不必向上帝祈禱，只需在“命令提示符”管理員模式下執(zhí)行如下命令就可以將其擊斃（如果你發(fā)現(xiàn)木馬在其他位置，將其中的“\\。\%appdata%\”更換為木馬實(shí)際所在路徑即可）：

　　》 rd “\\。\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

　　因?yàn)閃in10“上帝模式”木馬十分狡猾，使用傳統(tǒng)的查殺方式是沒(méi)辦法將其徹底清除的，可能用戶中招了都沒(méi)有察覺(jué)到呢。