昨天无意中使用haiwei的rootkit检测工具NIAPSoft AntiRootkit Tools检查我的电脑,发现SSDT HOOK,对应的驱动文件名为sp??.sys(??字符为随机的两个字母,每次重启就变),使用冰刃检查SSDT HOOK明明看到这个驱动的路径在c:windowssystemdrviers下,而在c:windowssystemdrviers下却找不到该文件的任何影子,当然第一感觉是中了未知木马,试着用冰刃恢复SSDT,再找,仍然找不到。
立即重启系统,用WINPE引导,但WINPE下检查这个文件也没有任何结果。安装了很多东东,天知道这玩意儿从哪儿来的。
记得以前看过一个来源于微软知识库的文章,当系统被rootkit入侵时,你无法预料最终会有什么结果,因为rootkit程序,它可以做任何事,只要作者愿意。众所周知的sony数字版权软件植入rootkit事件,在欧美引起过轩然大波,Sony事件的曝光,源自于Sysinternals的牛人Mark Russinovich,他在2005年10月30日的Blog中,首次披露了Sony的数字版权软件包含Rootkit:Sony, Rootkits and Digital Rights Management Gone Too Far。这件事之后,大量木马开始使用rootkit技术,而rootkit技术已经成为商业软件的禁区:公众无论如何都无法接受自己的电脑中被商业公司植入后门。
在微软的知识库中提到,对付rootkit,最安全的办法是重置你的操作系统,也就是重装。因为rootkit程序入侵你的系统后,该程序很可能会欺骗系统,导致你所看到的结果都是假象。通常情况下,可以用winpe把这样的程序找到后删除,再删除与该程序相关的驱动、服务或其它加载项。但这次我被打败了,我决定重装。
当晚重装了系统,把自己常用的几个工具再装上,打好系统补丁。当晚忘了用rootkit检测工具检查,后来的事实证明,这个决定太英明了,不然昨晚还不知几点钟能睡着。
今天在公司再用haiwei的这个工具一查,立即崩溃中,那个该死的rootkit又出来了。
并且肯定隐藏在我昨天安装的那几个工具软件中。想想这东东总不会藏在几个大个的商业软件中,于是将昨天安装的那几个共享软件一一卸载,再查,没有任何改善:那个rootkit始终在我的电脑里。对于搞反病毒的我来说,rootkit程序在我的电脑里驻留是不可接受的。
于是决定把这几个共享软件在虚拟机中安装测试,装完就用haiwei的工具检查是不是多了不明不白的东西。在试验了10多个工具之后,终于在Daemon Tool lite版中找到它的踪迹。这可是我长期使用的一个虚拟光盘软件,我很难接受它变成流氓软件的现实。在我安装Daemon Tools时,也会避免安装它的搜索插件和其它功能。尝试卸载Daemon Tools,重启发现这个rootkit仍然存在。
发现卸载Daemon Tools后,注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptd驱动还在,将其属性修改为禁用,重启。再用冰刃和haiwei的工具检查,发现那个sp??.sys没有再加裁了,但是注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptd键仍不可删除。万没想到这个深受爱戴的共享软件,已经彻底堕落为流氓,天知道Daemon tools要用rootkit来做什么。
申明,我所安装的Daemon Tools为官网下载,有该公司的数字签名。
文件名:daemon4120-lite.exe,版本号4.12.00
MD5值:df48777f9e9876f3abacbcd8652d3caa