Win32.TrojDownloader.HmirT.a.25920

病毒名稱

Rootkit25920

1. 該rootkit運後會創建設備名為\Device\KabCleanner的設備,名為\DosDevices\KabCleanner的符號連結

2. rootkit動態搜尋ntoskrnl.exe檔案,根據ntoskrnl.exe檔案結構來獲取系統服務表中NtOpenKey,NtClose,NtSetValueKey,NtEnumerateKey,NtCreateFile函式的真實地址

以避免自身對這些函式調用時被安全監視工具截獲.

3.　rootkit運行後會產生如下註冊表鍵

\registry\machine\system\currentcontrolset\services\saiujrh38l鍵

鍵值為:

"Type"=1

" ErrorControl"=1

"DisplayName"="saiujrh38l"

"Group"="System Bus Extender"

"Start"=0

"imagepath" = "System32\DRIVERS\saiujrh38l.sys"

4.該rootkit監視userinit.exe進程和explorer.exe進程的創建.

若userinit.exe進程創建,則修改註冊表的\registry\machine\software\microsoft\windows\currentversion\runonce鍵 ,

並設定鍵值為 %systemroot%\system32\Rundll32.exe %systemroot%\system32\55Id.dll,DllUnregisterServer .

若explorer.exe進程創建,則創建一個新執行緒,用以完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的創建