Win32.Troj.NTRootKit

病毒名称(中文):

隐士

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

23040

影响系统:

Win9xWinNT

病毒行为:

该病毒隐藏一系列的进程、文件、注册表项。

1.在注册表主键HKLM\Software\Microsoft\Windows\CurrentVersion下添加子键

"Ms4Hd"

在新建立的子键下再添加四个子键：

"Files"保存需要隐藏的文件名

"Processes"保存需要隐藏的进程名

"RegValues"保存需要隐藏的注册表键值

"Regkeys"保存需要隐藏的注册表子键

被病毒隐藏的文件名：

service.exe

msacmx.dll

d3dxov.dll

winsrv32.dll

ie4unit.exe

ipxroutex

rdshost32

rshe.exe

net2.exe

mqsvch.exe

dllhostxp.exe

extrac16.exe

mqbckup.exe

pxhping.exe

rdpnr.exe

slservc.exe

PENTRO~1.V

hdr.dll

被病毒隐藏的进程：

ie4unit.exe

ipxroutex.exe

service.exe

rdshost32.exe

rshe.exe

net2.exe

mqsvch.exe

dllhostxp.exe

extrac16.exe

mqbckup.exe

pxhping.exe

rdpnr.exe

slservc.exe

"%Filename%"

被病毒隐藏的进程注册表键值的名称：

dllhostxp.exe

"%Filename%"

pxhping.exe

service.exe

被病毒隐藏的子键：

{98DBBF16-CA43-4c33-BE80-99E6694468A4}

{A5366673-E8CA-11D3-9CD9-0090271D075B}

Files

Ms4Hd

Processes

RegKeys

RegValues

Vendor

注："%Filename%"指病毒文件名

2.病毒会将自身复制到：

"%System%\%Filename%"

并释放出文件：

"%System%\hdr.dll"

3.病毒在注册表主键HKLM\Software\Microsoft\Windows\CurrentVersion\Run下新建键值：

"%Filename%"="%Filename"