เครื่องของฉันถูกโจมตีโดยโทรจันที่แสดงตัวเป็นบริการในกระบวนการ svchost ของ netsvcs กระบวนการนี้สามารถระบุได้โดยใช้ Process Explorer เป็น 'svchost -k netsvcs'
อาการที่ฉันระบุว่าเครื่องของฉันติดไวรัสคือ:
-
1. การใช้ ethereal ฉันสามารถเห็นการรับส่งข้อมูล HTTP ที่ไม่หยุดยั้งจากเครื่องของฉันไปยังเว็บไซต์ต่างๆเช่น ESPN และสตรีมเพลงออนไลน์
-
2. โดยทั่วไปภายใน 10 ถึง 15 นาทีดร. วัตสันจะโยนกล่องโต้ตอบที่ระบุว่ากระบวนการโฮสต์ทั่วไปล้มเหลว
-
3. Process Explorer ระบุว่ากระบวนการ 'svchost -k netsvcs' ใช้ CPU ถึง 100%
-
4. ไฟล์ใน C: \ Documents และ Settings \ NetworkService \ Local Settings \ Temporary อินเทอร์เน็ต Files \ Content.IE5 ถูกล็อคโดยกระบวนการ 'svchost -k netsvcs'
นี่คือสิ่งที่ฉันได้ทำเพื่อตอกย้ำว่า sevice เป็นผู้กระทำผิด
รายการของการบริการที่ Windows จะทำงานที่เริ่มต้นใน netsvcs Svchost ภาชนะที่สามารถรับได้ที่สถานที่ตั้ง registy นี้: HKLM \ SOFTWARE \ Microsoft \ Windows NT สตริงมูลค่า MULTI_REG_SZ แต่ละชื่อของบริการที่ตั้งอยู่ที่: HKLM \ SYSTEM \ CurrentControlSet \ Services
สำหรับบริการแต่ละรายการที่อยู่ใน netsvcs ฉันได้สร้างรายการที่แตกต่างใน SvcHost จากนั้นอัปเดต ImagePath ของบริการเพื่อระบุ svchost ที่บริการควรจะทำงานภายใต้
เป็นตัวอย่าง - เพื่อเรียกใช้บริการ AppMgmt ภายใต้มันเป็น svchost ของตัวเองเราจะทำดังต่อไปนี้:
-
1. ภายใต้ SvcHost สร้างค่า Multi-String ใหม่ที่ชื่อว่า 'appmgmt' ด้วยค่า 'AppMgmt'
-
2. ภายใต้ SvcHost สร้างคีย์ใหม่ชื่อ 'appmgmt' โดยมีค่าเหมือนกันภายใต้ 'netsvcs' (โดยทั่วไปคือ REG_DWORD: AuthenticationCapabilities = 12320 และ REG_DWORD: CoInitializeSecurityParam = 1)
-
3. ภายใต้ CurrentControl \ Services \ AppMgmt แก้ไข ImagePath เป็น% SystemRoot% \ system32 \ svchost.exe -k appmgmt
ฉันทำตามขั้นตอนข้างต้นในบริการสามสิบอย่างที่ทำงานภายใต้ netsvcs สิ่งนี้ทำให้ฉันสามารถระบุได้อย่างชัดเจนว่าบริการใดเป็นผู้รับผิดชอบต่ออาการข้างต้น การรู้จักบริการเป็นเรื่องง่ายโดยใช้ Process Explorer เพื่อตรวจสอบว่าไฟล์ใดที่บริการถูกล็อคและโหลดและใช้รายการรีจิสตรีใด มีข้อมูลทั้งหมดนั้นเป็นขั้นตอนง่าย ๆ ในการลบบริการจาก mmachine ของฉัน
ฉันหวังว่าโพสต์นี้จะเป็นประโยชน์กับคนอื่นที่ได้รับผลกระทบจากกระบวนการ svchost ที่ติดเชื้อ