Win32.TrojDownloader.HmirT.a.25920病毒是个rootkit，毒霸07和08中已经集成bootclean杀毒技术（顽固病毒清除技术）应该是可以较轻易的清除的。

　　以下是这个病毒的具体技术分析：

　　1. 这是一个rootkit,该病毒创建设备名为\Device\KabCleanner的设备,名为\DosDevices\KabCleanner的符号链接

　　2. rootkit动态搜索ntoskrnl.exe文件,根据导出表和重定位表信息,以得到KeServiceDescriptorTable所指向的SSDT表中ZwOpenKey,ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile的真实地址,以此来逃过安全监视工具的截获.

　　3 .另外rootkit新建\registry\machine\system\currentcontrolset\services\saiujrh38l键

　　"Type"=1

　　" ErrorControl"=1

　　"DisplayName"="saiujrh38l"

　　"Group"="System Bus Extender"

　　"Start"=dword:00000000

　　"imagepath" = "System32\DRIVERS\saiujrh38l.sys"

　　4 . 监视userinit.exe和explorer.exe进程的创建,若userinit.exe进程创建,则修改注册表的 \registry\machine\software\microsoft\windows\currentversion\runonce键

　　设置键值为 %systemroot%\system32\Rundll32.exe %systemroot%\system32\55Id.dll,DllUnregisterServer

　　若为explorer.exe进程创建则创建新线程来完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的创建

　　假如使用毒霸检测到该病毒，并重启后仍未完成修复，可以尝试使用金山清理专家的文件粉碎器，将%SystemRoot%\system32\ drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll两个文件添加到彻底删除的列表，删除后 立即重启计算机。

　　缺省情况下%SystemRoot%\system32目录指c:\windows\system32目录，请根据自己windows安装路径灵活修改。


上一篇：分析：为什么McAfee报告QQ程序是病毒
下一篇：新病毒窃取QQ密码 通过U盘传播