病毒描述

行为分析

清除方法

病毒描述

这是一个内核木马，它会把自己的进程，在注册表中的键值，创建的文件，创建的服务隐藏起来，尽最大可能不让受害者发现木马，以使木马长久驻留在受害者计算机中执行外界发来的特定命令。

行为分析

1.该病毒会把自身复制为%System32%\\rtkit.exe并以服务的形式随计算机启动而运行.

2.在%System32%\\创建文件夹RtKit，该文件夹用来存放该内核木马得驱动程序npf.sys，记录文件rtkit.log，以及动态链接库globalc.dll。

3.加载木马释放的驱动程序npf.sys，HOOK了关键的内核API，释放的动态链接库globalc.dll作为木马与驱动程序通信的接口，木马根据配置文件ntrootkit.ini来隐藏进程，文件，注册表，服务等。

通过注册表的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\RtKit\\KeyName

"0"="HKLM\\SYSTEM\\*NPF"

"1"="HKLM\\SOFTWARE\\RTKIT"

"2"="HKLM\\SYSTEM\\*RTKIT"

来通知驱动程序隐藏指定的注册表键值，以在注册表中隐藏自己。

通过注册表的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\RtKit\\FileDirName

"0"="*SYSTEM32\\RTKIT"

来通知驱动程序隐藏指定的文件或者文件夹，以隐藏自己的文件。

通过注册表的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\RtKit\\ServName

"0"="RTKIT"

来通知驱动程序隐藏指定的服务，以隐藏自己的服务。

它还会隐藏自己的进程。

木马是否加载驱动程序标志：

HKEY_LOCAL_MACHINE\\software\\rtkit\\IsUseDriver

加载服务：

NPF，该服务用来加载驱动程序。

RtKit，将自己注册为服务。将自己描述为"Window system rpc service"。

IpFilterDriver， 开设后门服务，隐藏TCP/UDP端口。

开放远程访问注册表服务（Remote Registry），以远程操作受害者计算机系统中的注册表，远程加载木马服务。

设置木马版本信息，为以后升级木马做准备：

HKEY_LOCAL_MACHINE\\software\\rtkit

"MajorVersion"=0x1

"MinorVersion"=0x16

配置文件ntrootkit.ini中：

[HIDDEN PROCNAME]

保存要隐藏的进程名

[HIDDEN REGKEY]

保存要隐藏的注册表主键

[HIDDEN REGVALUE]

保存要隐藏的注册表键值

[HIDDEN FILEDIR]

保存要隐藏的文件夹

[HIDDEN SERVICE]

保存要隐藏的服务

[HIDDEN USER]

保存要隐藏的用户

[HIDDEN TCPPORT]

保存要隐藏的TCP端口

[HIDDEN UDPPORT]

保存要隐藏的UDP端口

使用Sniffer模式收发数据包以和外界通信。

4.窃取用户的系统资料，个人资料等。

5.记录用户的键盘输入，保存在文件rt_passfile.txt中，并会通过该木马泄露出去。

6.外界可以发送预定义的指令，如上传下载文件，运行程序，更新木马和配置文件，设置访问密码，对指定网址发动DDOS攻击等，

7.一旦中了该木马就很难清除，危害很大。

清除方法

病毒及木马或流氓软件清除建议：

Rootkit是后门病毒，建议重启电脑进入安全模式，然后在拔掉网线的情况下全盘杀毒。

首先如果感染病毒可以使用瑞星或者金山毒霸等最新病毒库的杀毒软件来解决。如果WINDOWS下无法清除病毒可以下载KVDOS在DOS下杀毒，该软件还可以清除硬盘BOOT引导区病毒。如果存在木马那么你可以使用木马克星或者360安全卫士，WIN98,XP均可。如果是XP你可以使用瑞星的卡卡来检测木马。同时我建议：用多种杀毒软件来查杀病毒，例如使用瑞星和金山交替检查，不建议用卡巴斯基软件。木马软件可以重复使用，两种不同的软件可以互补。如果无法到安全模式区杀除病毒就一定要利用KVDOS来解决问题。病毒存在驻留内存的问题，一般杀毒软件可以检查，但是由于存在内存病毒移位或者变形以及其他杀毒软件就无法查杀，只能发现。

要脱离病毒的感染环境区解决问题，DOS就是一个极好的平台，同时安全模式也是，但是目前很多病毒就锁定你无法进入安全模式，所以中病毒的朋友可以根据我的方法来解决病毒。