11.11-11.17流行病毒排行榜NO.3:Win32.TrojDownloader.HmirT.a.25920
Win32.TrojDownloader.HmirT.a.25920病毒是个rootkit,毒霸07和08中已经集成bootclean杀毒技术(顽固病毒清除技术)应该是可以较容易的清除的。
9 H( K& }& S! C5 M3 `金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.netbbs.duba.net4 V0 D9 w, n9 v! M% y5 q' N' ~
以下是这个病毒的详细技术分析:
# e+ q/ B, \) `5 x/ z) J- W1. 这是一个rootkit,该病毒创建设备名为\Device\KabCleanner的设备,名为\DosDevices\KabCleanner的符号链接
1 O; m- ?3 X5 U4 R- Rbbs.duba.net
5 V* |7 h$ s) D( Y+ R: y2. rootkit动态搜索ntoskrnl.exe文件,根据导出表和重定位表信息,以得到KeServiceDescriptorTable所指向的SSDT表中爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具8 c; d: p& ~5 d1 K3 c+ ]: l$ @: e& w
ZwOpenKey,ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile的真实地址,以此来逃过安全监视工具的截获.
9 v2 ?, _/ S2 N& O% t3 w金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.netbbs.duba.net# T6 h& U" O& \4 k, h) h
3 .另外rootkit新建\registry\machine\system\currentcontrolset\services\saiujrh38l键
. l! H, E; M# N! H爱毒霸社区 "Type"=1爱毒霸社区; }- V v! l! m4 }( N
" ErrorControl"=1
7 L3 j' U( Y. Y5 ?; v. p( Y爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具 "DisplayName"="saiujrh38l"
+ G# V# \: a& n% w4 } "Group"="System Bus Extender"
3 I3 ] m5 D' e3 [% K( _+ r爱毒霸社区 "Start"=dword:00000000
8 a3 J& P+ I, G3 Y金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net "imagepath" = "System32\DRIVERS\saiujrh38l.sys"
+ Y& k3 I. Q1 Z% V0 f爱毒霸社区爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net K0 i# q2 o7 H) K' W* s
4 . 监视userinit.exe和explorer.exe进程的创建,若userinit.exe进程创建,则修改注册表的金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net- k" ?4 N" @( O1 ?
\registry\machine\software\microsoft\windows\currentversion\runonce键 / H9 n K" Y# }4 k
设置键值为 %systemroot%\system32\Rundll32.exe %systemroot%\system32\55Id.dll,DllUnregisterServer .
/ {+ B) u8 K5 X+ I* w& d 若为explorer.exe进程创建则创建新线程来完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的创建。如果使用毒霸检测到该病毒,并重启后仍未完成修复,可以尝试使用金山清理专家的文件粉碎器,将%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll两个文件添加到彻底删除的列表,删除后立即重启计算机。
! a3 i/ \% I5 O" Q0 l- S3 N7 a% @金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.netbbs.duba.net5 p; X. k4 f, j4 {$ c0 e. ~
缺省情况下%SystemRoot%\system32目录指c:\windows\system32目录,请根据自己windows安装路径灵活修改。
. F$ O2 ]% K8 M! `3 y爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net爱毒霸社区7 a: B* i: E. }' c$ C8 L
如果以上方法处理无效的,请回复本贴,我们尝试用更多的方法彻底解决这个病毒。
