天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

Daemon Tools自甘堕落 强行驻留用户电脑

2008-3-6塞迪网佚名

现在Rootkit的被“利用率”越来越高了,这次是Demon Tools这款虚拟光驱软件,它想做什么呢?

昨天无意中使用haiwei的rootkit检测工具NIAPSoft AntiRootkit Tools检查我的电脑,发现SSDT HOOK,对应的驱动文件名为sp??.sys(??字符为随机的两个字母,每次重启就变),使用冰刃检查SSDT HOOK明明看到这个驱动的路径在c:\windows\system\drviers下,而在c:\windows\system\drviers下却找不到该文件的任何影子,当然第一感觉是中了未知木马,试着用冰刃恢复SSDT,再找,仍然找不到。

立即重启系统,用WINPE引导,但WINPE下检查这个文件也没有任何结果。安装了很多东东,天知道这玩意儿从哪儿来的。

记得以前看过一个来源于微软知识库的文章,当系统被rootkit入侵时,你无法预料最终会有什么结果,因为rootkit程序,它可以做任何事,只要作者愿意。众所周知的sony数字版权软件植入rootkit事件,在欧美引起过轩然大波,Sony事件的曝光,源自于Sysinternals的牛人Mark Russinovich,他在2005年10月30日的Blog中,首次披露了Sony的数字版权软件包含Rootkit:Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之后,大量木马开始使用rootkit技术,而rootkit技术已经成为商业软件的禁区:公众无论如何都无法接受自己的电脑中被商业公司植入后门。

在微软的知识库中提到,对付rootkit,最安全的办法是重置你的操作系统,也就是重装。因为rootkit程序入侵你的系统后,该程序很可能会欺骗系统,导致你所看到的结果都是假象。通常情况下,可以用winpe把这样的程序找到后删除,再删除与该程序相关的驱动、服务或其它加载项。但这次我被打败了,我决定重装。

当晚重装了系统,把自己常用的几个工具再装上,打好系统补丁。当晚忘了用rootkit检测工具检查,后来的事实证明,这个决定太英明了,不然昨晚还不知几点钟能睡着。

今天在公司再用haiwei的这个工具一查,立即崩溃中,那个该死的rootkit又出来了。

并且肯定隐藏在我昨天安装的那几个工具软件中。想想这东东总不会藏在几个大个的商业软件中,于是将昨天安装的那几个共享软件一一卸载,再查,没有任何改善:那个rootkit始终在我的电脑里。对于搞反病毒的我来说,rootkit程序在我的电脑里驻留是不可接受的。

于是决定把这几个共享软件在虚拟机中安装测试,装完就用haiwei的工具检查是不是多了不明不白的东西。在试验了10多个工具之后,终于在Daemon Tool lite版中找到它的踪迹。这可是我长期使用的一个虚拟光盘软件,我很难接受它变成流氓软件的现实。在我安装Daemon Tools时,也会避免安装它的搜索插件和其它功能。尝试卸载Daemon Tools,重启发现这个rootkit仍然存在。

发现卸载Daemon Tools后,注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驱动还在,将其属性修改为禁用,重启。再用冰刃和haiwei的工具检查,发现那个sp??.sys没有再加裁了,但是注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd键仍不可删除。万没想到这个深受爱戴的共享软件,已经彻底堕落为流氓,天知道Daemon tools要用rootkit来做什么。

申明,我所安装的Daemon Tools为官网下载,有该公司的数字签名。

文件名:daemon4120-lite.exe,版本号4.12.00

MD5值:df48777f9e9876f3abacbcd8652d3caa

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:塞迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行