来自很早以前我在另一个博客写的

2006-11-19 | 网络不安全——有感于现在的病毒木马

    昨天在网上找了点资料，然后就发现系统有问题了，进程查看发现IEXPLORE.EXE异常，但其路径为C:\Program Files\Internet Explorer\IEXPLORE.EXE（正常），查看该文件也正常，结束该进程后再启动IEXPLORE.EXE发现进程正常。以为是杀毒软件误报。
    第二天启动机器，整了半天才启动起，强烈怀疑中木马，最后在系统检测中发现C:\WINDOWS\system32\ShellExt\services.exe服务失效，于是怀疑，services怎么会在这个目录下，找到文件后发现文件异常，清除失败，但又在进程里找不到，在犹豫中结束了启动时自启动的IEXPLORE.EXE（因为这个进程异常，但结束了再启动就正常了，所以留这个进程有研究价值，当然也就是犹豫地结束），然后再清除services.exe。Oh，MY GOD！成功清除！
    现在很明显，进程里显示出来的那个IEXPLORE.EXE根本不是真正的IEXPLORE.EXE，而是C:\WINDOWS\system32\ShellExt\services.exe（这个木马！），但是为什么他的进程名称和路径完全和真正的IEXPLORE.EXE一模一样呢？而根本不是他实际（service.exe）的名称和路径。这就是现代木马的先进技术，这个我就再不深入了，到此为止。
    还有一点就是，号称最顶尖的杀毒软件McAfee也没有发现这个木马，最后是在木马克星里找到异常服务才顺藤摸瓜找到这个木马，疑为灰鸽子，但灰鸽子专杀工具也无效。目前的杀毒技术，也只能跟在病毒木马之后发展了。