恶搞IE标题的“黑鹰远控”病毒

病毒名称：Win32.HackTool.HeiYingT.cr.638976

中文名称：黑鹰远控

病毒类型：远程控制木马

病毒目的：偷窥系统信息，窜改系统属性

IE标题被恶搞了

几天前，我打开IE浏览器后发现，浏览器的标题不知道为什么被改成“你的地盘我做主”，以前都不是这样的。右键点击IE浏览器图标选择“属性”，在弹出的窗口查看浏览器的“Internet属性”信息，果然发现浏览器的首页被窜改了，显示的是“百度”。请问，我的系统是不是安装了流氓软件，有什么办法清除？

删除杀毒软件的驱动

哈哈，什么流氓软件，这一切都是我干的——“黑鹰远程控制软件”。既然我被定性为一款远控软件，那么要发挥作用，需要先潜入远程用户的系统才行。潜入的方法多种多样，比如网页木马、文件捆绑、下载器等，正所谓“八仙过海各显神通”。

在我进入远程系统后，首先释放病毒模块到系统的System32目录里面，接着将模块文件插入到Svchost进程中，这样就可以轻松地突破网络防火墙的拦截。当我和黑客控制的客户端连接成功后，就可以进行文件、进程、窗口、注册表、视频等控制操作。我不但可以执行运行、上传、下载等基本功能，还可以对指定的文件或文件夹进行打包压缩，这样传输起来也更加的方便。

我还有一项独特功能——“显示驱动”功能，可以显示出远程系统所有的驱动信息和杀毒软件主动防御的信息。利用此功能，我可以找到杀毒软件主动防御的相关文件并删除它们，这样杀毒软件的主动防御就不起作用了。

我与众不同的就是要恶搞IE标题，通过“IE选项”命令可以获取IE浏览器的各项信息并进行修改，“IE标题”就被改成了“你的地盘我做主”。此外，我还可以对右键菜单、扩展按钮、功能插件等进行管理，当发现不喜欢的功能就直接把它删除掉。

清除病毒模块Svchost.Dll

“黑鹰”病毒自称拥有很多功能，但这些功能主要用于远程控制，因此它的自我保护能力并不强，主要采用了线程插入这样的隐藏技术，清除起来还算简单。

第一步：首先运行进程管理工具WsysCheck，选择“进程管理”标签后可以看到一个紫红色的Svchost进程，可以在“模块路径”中发现一个名为Svchost.Dll的模块，它就是该木马病毒的主文件。选择这个病毒模块文件后，点击右键菜单选择“卸载模块并删除文件”命令即可。

第二步：接着点击程序的“服务管理”标签，同样可以看到多个红色的非系统服务，这里面很有可能就有病毒的启动服务。经过查看，发现T1ntSvr服务的“服务路径”信息，和病毒模块Svchost.Dll的地址是一样的，说明它就是该木马的启动服务。选中它以后单击右键选择“删除选中的服务”即可。

第三步：现在运行系统管理修复工具SREng，点击SREng窗口中的“系统修复”按钮。接着再点击“Windows shell/IE”标签，选中“全选”选项后点击“修复”按钮即可，这样被该木马窜改的IE浏览器和其他的系统属性都会被还原到系统的默认状态。最后升级杀毒软件并进行全盘查杀，清除病毒的残留即可。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-06-15 18:06:08,点击:65824