DarkstRat远控木马的清除方法

病毒名称：win32.pswtroj.onlinegames.464384

中文名称：DarkstRat远控木马

病毒类型：后门病毒

病毒目的：远程控制用户电脑

名称怪异的DLL文件

最近我经常发现ADSL上面的等不停地闪烁，就算什么也不干也会出现这样的情况，凭着5年的电脑使用经验我怀疑电脑有问题，于是对系统进行了检测。用安全辅助工具检测时发现一个陌生且可疑的System64.dll，这个名称太怪了（系统DLL文件好像没有这样取名字的）。随后我看到该文件竟然有微软的标志，到底这个文件是不是真的存在，我拿不准，请问该怎么办？

远程监控用户一举一动

我叫DarkstRat远控木马。为了更好地隐藏，我对服务端文件进行了伪装——在文件属性里面“烙上”了Microsoft字样，这样安全工具就不敢随便清除我了。

但我进入系统后，会在系统的System32目录里释放两个木马文件，分别是System64.dll和System64.ddt。其中System64.dll是我的功能文件，用来接受和执行主人的指令，而System64.ddt是我的配置文件，进行过加密处理，里面记录了我入侵后要链接的IP地址和端口。

释放完文件后，我立马将System64.dll文件插入到Svchost.exe进程中。接着，我就替换了系统的BITS服务。BITS是系统默认启动的服务，通过它可以使用空闲网络带宽在后台传送文件。除此之外，替换BITS服务还可以躲过杀毒软件的主动防御以及穿透网络防火墙。

在用户电脑上安营扎寨后，我就跟主人联系，他通过我就可以控制用户的电脑，例如主人点击“视频监视-获取摄像头”按钮，我就立即检查用户是否安装有摄像头，如果有的话主人点击“自动获取”按钮就可以看到被远程监控用户的一举一动了。

清除被窜改的服务

DarkstRat远控木马，不要以为穿着微软的“马甲”就没有人认识你了，要清除你还不是手到擒来的事情。

第一步：首先运行《金山清理专家》，打开“进程管理器”。点击列表中的“进程标志符”，这时程序会按照PID数值对进程进行排序。接着选中PID数值最大的Svchost.exe（病毒插入Svchost.exe后导致PID数值成为所有的Svchost.exe中最大的），这时在模块列表中可以看到一个蓝色的System64.dll，点击“结束选中进程”按钮即可。

第二步：接着进入“文件粉碎器”，点击窗口中的“添加文件”按钮，然后在系统的System32目录里面，选中木马文件System64.dll和System64.ddt，点击“彻底删除”按钮即可删除木马文件。

第三步：然后点击“恶意软件查杀-恶意文件”，这时程序会分析出一个“异常的BITS服务”，选中该启动服务项，单击下面的“清除选定项”按钮，就可以成功修复被木马窜改的BITS服务。

最后重新安装杀毒软件并升级病毒库到最新版本，再进行全盘查杀，将病毒残留物彻底清除干净。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-09-14 08:12:30,点击:65824