Win32.Troj.RootKitT.ly.45152是什么病毒?有什么危害?

威胁级别:★★☆☆☆

病毒类型:黑客工具

病毒长度:16800

影响系统:Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

引用:

这是一个Rootkit，它的主要功能是保护其他的病毒文件

一、病毒简介

这个Rootkit主要有两个功能：

1、绕过SSDT挂钩反复写注册表

2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件，使得这些文件被占用而无法被删除

二、功能分析-绕过SSDT挂钩反复写注册表

Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存，并通过这个新的内存映象计算出ZwOpenKey，

ZwClose，ZwSetValueKey，ZwEnumerateKey，ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)

的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。

三、功能分析-占用文件

Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32

\mlxw81h.dll这两个文件，使这两个文件被占用，从而无法被删除。(这两个文件的名字都是随机的)。

Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建，Rootkit通过写注册表

启动项运行%systemroot%\system32\mlxw81h.dll。如果