Rootkit为什么难缠
<br><br><br>近来,各种夹带Rookit的病毒比较流行,且较难查杀。<br>拿到网友提供的一个样本,观察了一下此毒感染系统后的种种表现。现归纳如下,供大家杀毒时参考:<br>————————————————<br>0、这个样本感染系统后,在%system%文件夹中创建citteo.exe和msdirectx.sys两个病毒文件。<br>1、感染系统后,你运行什么程序,Rootkit就插入相应的进程(图1,红色字符显示的进程除citteo为病毒进程外,其它为rootkit插入的应用程序进程)。<br>2、另一个比较麻烦的问题:Rootkit是其它病毒/木马夹带的一个隐身工具。夹带Rootkit的病毒/木马进程名是随即生成的,每感染系统一次,病毒进程名都会变化(图2)。如果没有IceSword这样的工具,较难辨认那个是病毒进程。<br>3、Rootkit感染系统后,即使你运行IceSwoed,IceSword也会被Rootkit插入(图3)。<br>4、用IceSword的“重启并监视”功能发现:重启过程中,Rootkit插入winlogon进程(图4)。<br>5、重启系统后,又多了一样麻烦:病毒又在当前用户文件夹中加入了一个Rootkit(图5)。<br>6、越搞越乱!还是到安全模式下试试用KillBox解决问题吧(图6)。<br>7、用KillBox删除病毒文件citteo.exe后,重启到WINDOWS模式,用IceSword删除残余的那两个Rootkit(%system%中一个,当前用户文件夹中一个)。<br>8、清理注册表:<br>定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<br>删除注册表项:msdirectx;<br>定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;<br>将"Userinit"="userinit.exe,citteo.exe"改为"Userinit"="userinit.exe"。搞定!<br>______________________<br><br>图1
附件: Install Flash Cookie Cleaner.rar (2013-3-16 20:21:55, 1213.86 K)
该附件被下载次数 210