|
Win32.TrojDownloader.HmirT.a.25920病毒是个rootkit,毒霸07和08中已经集成bootclean杀毒技术(顽固病毒清除技术)应该是可以较容易的清除的。
以下是这个病毒的详细技术分析:
1. 这是一个rootkit,该病毒创建设备名为\Device\KabCleanner的设备,名为\DosDevices\KabCleanner的符号链接
2. rootkit动态搜索ntoskrnl.exe文件,根据导出表和重定位表信息,以得到KeServiceDescriptorTable所指向的SSDT表中
ZwOpenKey,ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile的真实地址,以此来逃过安全监视工具的截获.
3 .另外rootkit新建\registry\machine\system\currentcontrolset\services\saiujrh38l键
"Type"=1
" ErrorControl"=1
"DisplayName"="saiujrh38l"
"Group"="System Bus Extender"
"Start"=dword:00000000
"imagepath" = "System32\DRIVERS\saiujrh38l.sys"
4 . 监视userinit.exe和explorer.exe进程的创建,若userinit.exe进程创建,则修改注册表的
\registry\machine\software\microsoft\windows\currentversion\runonce键
设置键值为 %systemroot%\system32\Rundll32.exe %systemroot%\system32\55Id.dll,DllUnregisterServer .
若为explorer.exe进程创建则创建新线程来完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的创建。如果使用毒霸检测到该病毒,并重启后仍未完成修复,可以尝试使用金山清理专家的文件粉碎器,将%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll两个文件添加到彻底删除的列表,删除后立即重启计算机。
缺省情况下%SystemRoot%\system32目录指c:\windows\system32目录,请根据自己windows安装路径灵活修改。
(阅读次数:)
|
收藏
推荐
评论(0条)
