http://forum.ikaka.com/topic.asp?board=28&artid=7259392http://forum.ikaka.com/topic.asp?board=28&artid=69792135楼,下载把日志贴上来.
这是一个内核模式驱动程序。
该驱动程序的代码是通过修改DDK的FileSpy例子代码得来。并且,该驱动程序还冒充微软版本信息来欺骗用户。
该驱动加载后会通过IoAttachDeviceToDeviceStack来附加一个过滤设备到文件系统驱动的设备栈上对文件I/O进行监控。
该驱动的作用是保护以下文件和目录不被任意修改和删除:
\Program Files\CNNIC
cdnprot.sys
cdntran.sys
cdnup.exe
cdnctr.exe
cdnuc.exe
\Temp\setup\swp.exe
cdndet.dll
cdnforie.dll
cdnins.dll
\LOCALS~1\Temp\setup\install.exe
\LOCALS~1\Temp\c\auto.exe
\LOCALS~1\Temp\onokx.dll
\LOCALS~1\Temp\c\setup.exe
\Program Files\SearchNet
\system32\drivers\FAD.sys
\system32\drivers\fad.sys
\system32\drivers\Anfad.sys
\system32\ServeHost.exe