虽然通过系统的NET SEND命令可以发送信息,但我早已经将系统的Messenger服务停止了,所以不可能接受到使用这种方式传送的信息。升级杀毒软件的病毒库,以求查杀这个木马。可令我失望的是,一个病毒也没有查到。
查找木马线索
既然怀疑是木马捣鬼,我开始查找可能的蛛丝马迹。首先打开命令提示符,输入命令netstat -ano后查看结果,结果发现系统开放了一个4466的TCP可疑端口。为了了解是什么程序开放的这个端口,我马上上网通过搜索引擎进行查找,结果一无所获。于是怀疑可能是某种全新的木马程序,因为现在的木马程序很多都包括自定义端口的选项。
我从刚才的结果中得知,开放这个端口进程的PID是1844。于是马上调出Windows 任务管理器,从进程列表中找到PID为1844的进程,进程名称是svch0st.exe。表面上看svch0st.exe和常见的系统进程svchost.exe差不多,但入侵者利用普通用户对系统进程的不了解,利用阿拉伯数字1和0,来代替英文字母I和O,使我差点误认为svch0st.exe是系统进程。wWw.iTCompUTER.cOM.Cn
From:http://www.itcomputer.com.cn/Article/Network/201309/929.html