与RootKit木马的亲密接触

我的安全意识还是比较强的，使用别人机器上网前都会用procexp（http://www.sysinternals.com/Files/ProcessExplorerNt.zip）查看一下有没有可疑的进程，用Autoruns（http://www.sysinternals.com/Files/Autoruns.zip）查看有没有可疑的启动项，检查未发现异常，开始上网，上了一会，关闭IE，准备关机。不经意间在防火墙网络访问信息中发现有iexplorer.exe访问网络，并且一会又消失了，因为我已经关闭了所有的IE窗口，所以这引起了我得注意。我马上打开procexp查看，但我并未发现那个iexplorer.exe，难道是防火墙误报，我下载了一个TcpView（http://www.sysinternals.com/Files/TcpView.zip），果然看到一个在进程列表中不存在的IE进程不停的访问网络。

如图：




这时我确定机器肯定中了木马，那个木马又是怎么启动的呢，我打开Autoruns仔细查找启动项，但找不到。此时我确认机器中了一个比较难缠的木马，我下载了RootkitRevealer(http://www.sysinternals.com/Files/RootkitRevealer.zip) 进行查找，果然不出所料，机器上有几个注册表隐藏项，和文件隐藏项

如图：



找到问题所在就好办了，打开IceSword （http://xfocus.net/tools/200509/IceSword_en1.12.rar），马上看到了那个IE进程

如图：



驱动注册表隐藏项，如图：



文件隐藏项，若图：



删除驱动文件，重启计算机，病毒进程立即现身，如图：



RootkitRevealer还报RPCSS服务的注册表一项被隐藏，因为驱动已经删除，再此打开注册表，木马更改的项马上现身了，若图：



将Rpcss服务的注册表项改回初始值，如图，重启问题搞定



结：此木马为驱动级木马，底层勾了ntoskrnl.exe导出函数，实现进程隐藏，文件隐藏。

zwvmlmtz.dll：替换Rpcss服务的DLL，实现自启动功能（Rpcss服务是系统重要服务），调用驱动。
zwvmlmtz.sys：挂接系统函数，隐藏自己的注册表项，隐藏Rpcss改动的注册表项（通过regedit查询到的值不准确），隐藏文件，把自己伪装为IE进程（防火墙一般默认ＩＥ进程访问网络自动放行的）。
zwvmlmtz.d1l：木马作者真正用意所在模块。