上帝的無奈！Win7“上帝模式”木馬難清除

Win7之家（ afsion.com.cn）：上帝的無奈！Win7“上帝模式”木馬難清除

IT之家訊 近日，一款名為Dynamer的木馬病毒被McAfee發(fā)現(xiàn)利用Win7/Win8.1/Win10的“上帝模式”為非作歹，為攻擊者大開受害系統(tǒng)后門，從而實現(xiàn)遠程操控的目的，而且這款木馬很難清除，可能上帝也很無奈……

這款木馬早在2010年就在微軟惡意軟件防控中心掛名上榜，最近新的活動又讓它刷出了存在感。該木馬進入目標設(shè)備后，通過修改注冊表的方式達到保持開機啟動的目的。值得注意的是，該注冊表“修改版”包含上帝模式標準代碼段“{241D7C96-F8BF-4F85-B01F-E2B043341A4B}”，能夠從“上帝模式”中啟動遠程桌面連接，具體鍵值如下：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe

可以看到，“上帝模式”前綴（GodMode，可自定義修改）被修改為“com4”。根據(jù)McAfee實驗室研究員Craig Schmugar的描述，這一名稱能夠很好地避免木馬所在目錄被清理，因為系統(tǒng)會把它當做設(shè)備來對待，甚至連用戶本身都很難通過文件資源管理器和命令等傳統(tǒng)方式來刪除它。

不過，魔高一尺，道高一丈。想要清理這個悍匪也不必向上帝祈禱，只需在“命令提示符”管理員模式下執(zhí)行如下命令就可以將其擊斃（如果你發(fā)現(xiàn)木馬在其他位置，將其中的“\\.\%appdata%\”更換為木馬實際所在路徑即可）：

> rd “\\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q

推薦閱讀：

《Win10/Win8/Win7中的“上帝模式”到底是個啥？》

《三步玩轉(zhuǎn)Win10“上帝模式”》