据悉,Win10系统“上帝模式”木马最近又出现在人们的视线中,该木马名为Dynamer。攻击者利用该木马侵入用户系统后门,远程操控。且木马相当狡猾,通过修改前缀来避免所在目录被清理,查杀非常困难。
这款木马早在2010年就在微软恶意软件防控中心挂名上榜,最近新的活动又让它刷出了存在感。该木马进入目标设备后,通过修改注册表的方式达到保持开机启动的目的。值得注意的是,该注册表“修改版”包含上帝模式标准代码段“{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”,能够从“上帝模式”中启动远程桌面连接,具体键值如下:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
可以看到,“上帝模式”前缀(GodMode,可自定义修改)被修改为“com4”。根据McAfee实验室研究员Craig Schmugar的描述,这一名称能够很好地避免木马所在目录被清理,因为系统会把它当做设备来对待,甚至连用户本身都很难通过文件资源管理器和命令等传统方式来删除它。
不过,魔高一尺,道高一丈。想要清理这个悍匪也不必向上帝祈祷,只需在“命令提示符”管理员模式下执行如下命令就可以将其击毙(如果你发现木马在其他位置,将其中的“\\。\%appdata%\”更换为木马实际所在路径即可):
》 rd “\\。\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
因为Win10“上帝模式”木马十分狡猾,使用传统的查杀方式是没办法将其彻底清除的,可能用户中招了都没有察觉到呢。