11.11-11.17流行病毒排行榜NO.3：Win32.TrojDownloader.HmirT.a.25920 HmirT, 排行榜

铁军

Win32.TrojDownloader.HmirT.a.25920病毒是个rootkit，毒霸07和08中已经集成bootclean杀毒技术（顽固病毒清除技术）应该是可以较容易的清除的。$ {! b2 C2 o/ Z7 u0 A. [
* R4 C2 L" M* t3 \& J8 i6 o! X9 m
以下是这个病毒的详细技术分析：) R' V7 B6 A. }( }$ \1 s
1. 这是一个rootkit,该病毒创建设备名为\Device\KabCleanner的设备,名为\DosDevices\KabCleanner的符号链接
) |4 {) |& g+ a& `6 C/ k! W, \; w; E1 r3 I
2. rootkit动态搜索ntoskrnl.exe文件,根据导出表和重定位表信息,以得到KeServiceDescriptorTable所指向的SSDT表中
  t- E. N3 s  o9 L& J   ZwOpenKey,ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile的真实地址,以此来逃过安全监视工具的截获.
, a/ c, B* p2 @: f6 [" b; i0 s# {  n9 \( D9 q' \0 `& p8 Q/ g  o7 P
3 .另外rootkit新建\registry\machine\system\currentcontrolset\services\saiujrh38l键9 E0 q& f; u6 x& R; M5 ]
"Type"=1* q1 L; L& H7 c/ w
" ErrorControl"=1
6 ^0 |  S# y1 X( ?% o/ j+ h$ z "DisplayName"="saiujrh38l"* v0 O- |" o- J4 y8 [
"Group"="System Bus Extender", C9 O& ]& ]# r6 v
"Start"=dword:00000000
6 u- _8 q1 I* h. M; c2 c9 ]. Q "imagepath" = "System32\DRIVERS\saiujrh38l.sys"1 w! u, ]4 G( U3 p
& h2 t) |" A1 J2 u
4 . 监视userinit.exe和explorer.exe进程的创建,若userinit.exe进程创建,则修改注册表的" K' D3 c- z7 V! S
     \registry\machine\software\microsoft\windows\currentversion\runonce键
2 A, j! j% Q; M( X; t6 h8 K3 c" D    设置键值为 %systemroot%\system32\Rundll32.exe %systemroot%\system32\55Id.dll,DllUnregisterServer .
: _$ j# n' D" a: R2 Z# U2 X    若为explorer.exe进程创建则创建新线程来完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的创建。如果使用毒霸检测到该病毒，并重启后仍未完成修复，可以尝试使用金山清理专家的文件粉碎器，将%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll两个文件添加到彻底删除的列表，删除后立即重启计算机。/ j3 i4 }; x( U2 S" r" y
" D/ o* J- M& Y' b4 I6 o
缺省情况下%SystemRoot%\system32目录指c:\windows\system32目录，请根据自己windows安装路径灵活修改。: J+ J0 r3 a* [# U' B

& G  |* A' _/ X: n4 `如果以上方法处理无效的，请回复本贴，我们尝试用更多的方法彻底解决这个病毒。