病毒名称(中文):
病毒保护伞16800
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客工具
病毒长度:
16800
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个Rootkit,它的主要功能是保护其他的病毒文件
一、病毒简介
这个Rootkit主要有两个功能:
1、绕过SSDT挂钩反复写注册表
2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除
二、功能分析-绕过SSDT挂钩反复写注册表
Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,
ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)
的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。
三、功能分析-占用文件
Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32
\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。
Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。假如userinit.exe被创建,Rootkit通过写注册表
启动项运行%systemroot%\system32\mlxw81h.dll。假如explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到
的两个病毒文件。