Win32.Troj.RootkitT.k.16800

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒保护伞16800

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

黑客工具

病毒长度:

16800

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个Rootkit,它的主要功能是保护其他的病毒文件

一、病毒简介

这个Rootkit主要有两个功能:

1、绕过SSDT挂钩反复写注册表

2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除

二、功能分析-绕过SSDT挂钩反复写注册表

Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,

ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)

的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。

三、功能分析-占用文件

Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32

\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。

Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。假如userinit.exe被创建,Rootkit通过写注册表

启动项运行%systemroot%\system32\mlxw81h.dll。假如explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到

的两个病毒文件。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航