Máy của tôi đã bị tấn công bởi một trojan tự thể hiện là một dịch vụ trong quy trình Svchost của Netsvcs. Quá trình này có thể được xác định bằng cách sử dụng Process Explorer dưới dạng 'svchost -k Netsvcs'.
Các triệu chứng tôi đã chỉ ra rằng máy của tôi đã bị nhiễm bệnh là:
-
1. Sử dụng ethereal Tôi có thể thấy lưu lượng HTTP không ngừng từ máy của mình đến các trang web khác nhau như ESPN và các bộ truyền phát nhạc trực tuyến.
-
2. Thông thường trong vòng 10 đến 15 phút, Tiến sĩ Watson sẽ đưa ra một hộp thoại cho biết Quá trình lưu trữ chung đã thất bại.
-
3. Process Explorer chỉ ra quá trình 'svchost -k Netsvcs' đang chiếm 100% CPU.
-
4. Các tệp trong C: \ Tài liệu và Cài đặt \ NetworkService \ Cài đặt cục bộ \ Tệp Internet tạm thời \ Content.IE5 đã bị khóa bởi quy trình 'svchost -k Netsvcs'.
Đây là những gì tôi đã làm để xác định chính xác mà bảy mươi là thủ phạm.
Danh sách các dịch vụ mà Windows sẽ chạy khi khởi động trong bộ chứa Svchost của Netsvcs có thể được lấy tại vị trí đăng ký này: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost \ Netsvcs . Mỗi chuỗi trong giá trị MULTI_REG_SZ là tên của một dịch vụ được đặt tại: HKLM \ HỆ THỐNG \ CurrentControlset \ Services .
Đối với mỗi dịch vụ được liệt kê trong Netsvcs, tôi đã tạo một mục riêng biệt trong Svchost và sau đó cập nhật ImagePath của dịch vụ để cho biết dịch vụ nào sẽ được chạy theo dịch vụ này.
Ví dụ: để chạy dịch vụ AppMgmt theo chính Svchost của chúng tôi, chúng tôi sẽ làm như sau:
-
1. Trong Svchost, tạo một giá trị Đa chuỗi mới có tên 'appmgmt' với giá trị 'AppMgmt'.
-
2. Trong Svchost, hãy tạo một khóa mới có tên 'appmgmt' với các giá trị giống hệt như các giá trị trong 'Netsvcs' (thường là REG_DWORD: xác thựcCapabilities = 12320 và REG_DWORD: CoInitializeSecurityParam = 1).
-
3. Trong CurrentControl \ Services \ AppMgmt sửa đổi ImagePath thành% SystemRoot% \ system32 \ svchost.exe -k appmgmt.
Tôi đã thực hiện các thủ tục trên trên tất cả ba mươi dịch vụ chạy dưới Netsvcs. Điều này cho phép tôi xác định chính xác dịch vụ nào chịu trách nhiệm cho các triệu chứng được liệt kê ở trên. Biết được dịch vụ sau đó thật dễ dàng bằng cách sử dụng Process Explorer để xác định tệp nào dịch vụ bị khóa và tải và mục đăng ký nào được sử dụng. Có tất cả dữ liệu đó là một bước đơn giản để xóa dịch vụ khỏi mmachine của tôi.
Tôi hy vọng bài đăng này hữu ích cho người khác bị ảnh hưởng bởi quá trình svchost bị nhiễm bệnh.