- 最后登录
- 2012-2-9
- 在线时间
- 5196 小时
- 注册时间
- 2002-1-15
- 阅读权限
- 255
- 帖子
- 17760
- 精华
- 41
- UID
- 1437137
 
- 铜钱
- 16047
- 元宝
- 400
- 威望
- 43888
- 积分
- 22856
|
发表于 2007-11-20 16:41:09
|显示全部楼层
Win32.TrojDownloader.HmirT.a.25920病毒是个rootkit,毒霸07和08中已经集成bootclean杀毒技术(顽固病毒清除技术)应该是可以较容易的清除的。0 F" s& ~! V& Y8 G8 b7 K5 o
4 C4 V9 ]2 v: _! I以下是这个病毒的详细技术分析:
! G# z0 ?) K3 ^3 ~9 \+ b1. 这是一个rootkit,该病毒创建设备名为\Device\KabCleanner的设备,名为\DosDevices\KabCleanner的符号链接7 @ k9 n0 {* U0 C3 J% N8 C% P
: a$ W4 `+ b" }; r$ Y1 i2. rootkit动态搜索ntoskrnl.exe文件,根据导出表和重定位表信息,以得到KeServiceDescriptorTable所指向的SSDT表中3 a% ~" ?# |: y8 W6 a" R/ F% F
ZwOpenKey,ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile的真实地址,以此来逃过安全监视工具的截获.
8 _* p2 K7 K0 X) f" x& e/ s! l' q) A) \+ ^
3 .另外rootkit新建\registry\machine\system\currentcontrolset\services\saiujrh38l键
) g Q% G1 Y: p5 X "Type"=13 d1 q% \" S) H
" ErrorControl"=1
8 X) ^: p7 C; p$ Z- X "DisplayName"="saiujrh38l"( w; d' p9 s; c& b
"Group"="System Bus Extender"
0 c, T' P; s# R. j) R "Start"=dword:00000000
4 `+ f" L8 ] h "imagepath" = "System32\DRIVERS\saiujrh38l.sys"
, l8 U0 Z7 Q5 \9 Y; k
& I% Z% J- C/ `' U0 q& H6 {( P4 . 监视userinit.exe和explorer.exe进程的创建,若userinit.exe进程创建,则修改注册表的
( ?* Q) i$ M: s3 y3 }% n \registry\machine\software\microsoft\windows\currentversion\runonce键 % M, a- Y% ^" R* ~3 V
设置键值为 %systemroot%\system32\Rundll32.exe %systemroot%\system32\55Id.dll,DllUnregisterServer .
( B$ z1 s1 `1 j 若为explorer.exe进程创建则创建新线程来完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的创建。如果使用毒霸检测到该病毒,并重启后仍未完成修复,可以尝试使用金山清理专家的文件粉碎器,将%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll两个文件添加到彻底删除的列表,删除后立即重启计算机。
) w9 L! A; Q, F9 u' N( P5 x, g2 |- F' M. v! b5 E% }; N6 f
缺省情况下%SystemRoot%\system32目录指c:\windows\system32目录,请根据自己windows安装路径灵活修改。
2 j. P2 b+ ? a" Y$ P! e" `& U0 t3 I" n6 D- _7 a& V+ j
如果以上方法处理无效的,请回复本贴,我们尝试用更多的方法彻底解决这个病毒。 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡