关于系统文件debug.exe和taskmgr.exe被篡改
这是近些天流行起来的一个木马下载器。我拿到的样本是Gameeeeeee.pif。
此样本来自:
http://bbs.janmeng.com/thread-787305-1-1.html此病毒释放/改写/下载的文件:
注:
1。如果能有效阻止病毒驱动ntkapi.sys释放、加载,此毒不能穿还原,也不能篡改系统程序debug.exe和taskmgr.exe。
2。windows目录下的病毒文件.exe为四位随机字母文件名,每次感染均变化。
此毒的注册表改动:
样本提供者还提供了一个Gameeeeeee.vbs。监控了一下其运行:Gameeeeeee.vbs运行后,到C:\Documents and Settings\Administrator\Local Settings\Temp目录下找Gameeeeeee.pif。找到后,即刻加载运行之。看来,这可能是个来自网络的脚本病毒。
我事先用工具禁止了任何程序针对%system%\drivers目录的创建/写入操作,然后在影子环境下运行此病毒样本,重启后,系统一切正常(system32目录下以及dllcache目录下的debug.exe、taskmgr.exe等还是系统程序,病毒未能改写之)。
这里的关键是:病毒在%system%\drivers目录下释放ntkapi.sys的动作被俺成功阻截了。
至于病毒可能释放驱动的其它位置,如:系统根目录、%Program Files%Internet Explorer\PLUGINS目录、当前用户temp目录、%windows%\temp目录.....,用户也应采取恰当防护措施,禁止外来程序在上述目录下创建.sys文件。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
