La mia macchina è stata attaccata da un trojan che si è manifestato come un servizio nel processo svets di netsvcs. Questo processo può essere identificato usando Process Explorer come 'svchost -k netsvcs'.
I sintomi che avevo indicato che la mia macchina era stata infettata erano:
-
1. Utilizzando ethereal ho potuto vedere il traffico HTTP non-stop dalla mia macchina verso diversi siti Web come ESPN e streamer musicali online.
-
2. In genere, entro 10-15 minuti, il Dr. Watson lanciava una finestra di dialogo che indicava che il processo host generico era fallito.
-
3. Process Explorer indicava che il processo 'svchost -k netsvcs' occupava il 100% di CPU.
-
4. I file in C: \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5 sono stati bloccati dal processo "svchost -k netsvcs".
Ecco cosa ho fatto per definire con precisione quale servizio era il colpevole.
L'elenco dei servizi che Windows eseguirà all'avvio nel contenitore netsvcs svchost può essere ottenuto in questo percorso di registrazione: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Ogni stringa nel valore MULTI_REG_SZ è il nome di un servizio situato in: HKLM \ SYSTEM \ CurrentControlSet \ Services .
Per ogni servizio elencato in netsvcs ho creato una voce distinta in SvcHost e quindi ho aggiornato ImagePath del servizio per indicare in quale svchost il servizio ora dovrebbe essere eseguito.
Ad esempio - per eseguire il servizio AppMgmt sotto il suo svchost, dovremmo fare quanto segue:
-
1. Sotto SvcHost crea un nuovo valore a più stringhe chiamato 'appmgmt' con il valore 'AppMgmt'.
-
2. In SvcHost creare una nuova chiave denominata 'appmgmt' con gli stessi valori di quelli in 'netsvcs' (in genere REG_DWORD: AuthenticationCapabilities = 12320 e REG_DWORD: CoInitializeSecurityParam = 1).
-
3. In CurrentControl \ Services \ AppMgmt modificare ImagePath in% SystemRoot% \ system32 \ svchost.exe -k appmgmt.
Ho seguito la procedura sopra descritta su tutti i trenta servizi eseguiti con netsvcs. Questo mi ha permesso di individuare esattamente quale servizio era responsabile dei sintomi sopra elencati. Conoscere il servizio è stato quindi semplice utilizzando Process Explorer per determinare quali file il servizio ha bloccato e caricato e quali voci di registro sono state utilizzate. Avere tutti quei dati è stato un semplice passo per eliminare il servizio dalla mia mmachine.
Spero che questo post sia utile a qualcun altro affetto da un processo svchost infetto.