網速明顯下降,有時候甚至連網頁都無法打開。接著是自己並沒有對系統進行任何的操作,但是硬碟燈卻閃個不停。甚至還有更誇張的,比如突然滑鼠自己動起來,並且有規律地移動;桌面打開的窗口也不時地突然最大化、最小化、或關閉窗口;甚至有人突然給你發送一些莫名其妙的資訊。
雖然通過系統的NET SEND命令可以發送資訊,但我早已經將系統的Messenger服務停止了,所以不可能接受到使用這種方式傳送的資訊。升級殺毒軟體的病毒庫,以求查殺這個木馬。可令我失望的是,一個病毒也沒有查到。
查找木馬線索
既然懷疑是木馬搗鬼,我開始查找可能的蛛絲馬跡。首先打開命令提示符,輸入命令netstat -ano後查看結果,結果發現系統開放了一個4466的TCP可疑端口。為了瞭解是什麼程式開放的這個端口,我馬上上網通過搜索引擎進行查找,結果一無所獲。於是懷疑可能是某種全新的木馬程式,因為現在的木馬程式很多都包括自定義端口的選項。
我從剛才的結果中得知,開放這個端口進程的PID是1844。於是馬上調出Windows 任務管理器,從進程列表中找到PID為1844的進程,進程名稱是svch0st.exe。表面上看svch0st.exe和常見的系統進程svchost.exe差不多,但入侵者利用普通用戶對系統進程的不了解,利用阿拉伯數字1和0,來代替英文字母I和O,使我差點誤認為svch0st.exe是系統進程。 |