雅虎香港新聞 
【Windows密技】教你解開被Dynamer木馬綁架的「上帝」
最新,一款利用Windows 7/Windows 8.1/Windows 10「上帝模式」的木馬又再出現。至於上帝模式是甚麼,有興趣的讀者可以閱讀 —《 簡單兩步 打開 Windows 10 隱藏「上帝模式」 》。這款名為 Dynamer 的木馬,就是利用「上帝模式」攻擊受害者,並以此利用系統後門,遠端控制目標電腦。
其實,這木馬早在2010年的「Windows 資訊安全中心」中排上有名的惡意木馬,但近期又重新出現。 Dynamer 木馬植入目標電腦後,會修改受害者的「登錄檔」,以保持木馬程式在開機之後自動開啟。而在登錄檔中,修改的代碼表中就包含「上帝模式的代碼」:「 {241D7C96-F8BF-4F85-B01F-E2B043341A4B} 」。而木馬利用「上帝模式」啟動遠端控制的詳細數值包括:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lsm = C:\Users\admin\AppData\Roaming\ com4 .{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe
對於上面的鍵值,一目了然 。對於熟悉Windows系統的讀者必定能看出其中問題,沒錯!就是將 GodMode 的字眼修改為 com4 。而這一修改的目的在於可以有效避免木馬所在的目錄被發現,以至於被刪除,這樣的隱藏,雖不說高明,但成功欺騙了Windows,並將其當為設備來處理,使其能存於系統之中。而用戶也難以發現或清理。
不過,好在McAfee防毒軟件的研究人員,Craig Schmugar發現了一個很簡單的方法,就是利用Windows內置的「命令提示字元」就可以解決。
小編教你輕鬆解決:
第一步:同時按鍵盤的「Windows鍵」+「Alt鍵」+「Delete鍵」:
第二步:之後選「工作管理員」,之後再選「更多詳細資料」:
第三步:選取類似「lsm.exe」的程式,之後按「結束工作」:
第四步:桌面左下角「開始」按「右鍵」,選取並進入「命令提示字元」(管理員)
第五步:複製以下指令,並貼上,之後按「Enter鍵」執行
(注意:如木馬在其他位置,將「 \\.\% appdata%\ 」改為實際所在即可)
rd “\\.\ %appdata% \com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}” /S /Q
當然,沒有被植入木馬的你,沒有成功刪除是正常的。預防萬一,可以 LIKE 一下本文章,分享在自己的Facebook上,以作備用。
相關:
二步啟用 Facebook Tor 連線,匿名VPN瀏覽保護私隱
更多資訊,請留意 PC3 !
限時Windows/MAC軟件免費使用,請留意 # pc3leo !
不想錯過最新科技猛料及限時優惠 ? 請 Follow PC3 FB 專頁 www.facebook.com/pc3mag
