ll模块文件,然后通过一段安装程序,将木马dll放入系统目录,并在服务管理器(scm)里注册自身为通过svchost.exe加载的服务dll组件之一,为了提高隐蔽性,病毒作者甚至直接替换系统里某些不太重要而默认开启的服务加载代码,如“distributed link tracking client”,其默认的启动命令是“svchost -k netsvcs”,如果有个病毒替换了启动命令为自己建立的分组“netsvsc”,即“svchost -k netsvsc”,在这种旁门左道加社会工程学的攻势下,即使是具备一般查毒经验的用户也难以在第一时间内察觉到问题出自服务项,于是病毒得以成功逃离各种查杀。
目前被发现使用此方法的木马已经出现,其中一个进程名为“ad1.exe”的广告程序就是典型例子,它通过替换“distributed link tracking client”服务的svchost启动项来躲过一般的手工查杀,同时它页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
