从最新截获的几款木马病毒看其发展驱势（转）

为了了解目前流行木马病毒的发展前沿科技，俺也来了个裸机上网。不出三天，机子就感染了N多病毒。这些病毒几乎全部是通过网页木马的方法，侵入到我的系统。一下子，让俺的爱机变得不堪重负，不得不处理下了。 因所得病毒过多，只选了几个比较有特点的病毒来讲解下。所谓有特点，即能逃过一般杀毒软件的查杀，文件在windows模式下，甚至安全模式下都不可删除,加载方式隐蔽性高。即使多次处理，病毒也能顽强抵抗到最后一秒。我所选取的两款病毒，就有以上这几个特点。病毒1.lfrmewrk.exe 该病毒是典型的后门程序，中毒后会时不时弹出网页。中止进程后又会重新启动，删除文件又会重新出现，非常顽固。更有usb8028x.sys,usb8028.sys两个后台类驱动程序作后盾,也有hbcmd.dll动态库文件作支撑。强悍之极。lfrmewrk.exe是病毒的主进程。 该病毒以以下形式注册为系统服务： 服务名为：error monitor 服务还以特殊方式隐藏起来，使得你使用services.msc命令也看不见它.隐藏方式： 似乎这样就你设备驱动的形式被保护起来，就算你到安全模式下，也拿它没折。查找{8ECC055D-047F-11D1-A537-0000F8753ED1}串，得到 果不其然，以驱动程序的形式将病毒保护起来了。 也有一款病毒名为d1ac1.exe或b8761.exe之类的。注册服务名：ms_2fax 机制和它完全一样，可能是同一作者所为。而且两者有共同作案的嫌疑。 病毒2.55550.dll. 把它作为病毒命名，是因为这个东西是其它几个dll的核心部分。其它几个dll就是*door0.dll之类的动态库文件。文件在windows也不可删。普通杀毒软件查不出病毒。该病毒在各盘还生成windows.scr和autorun.inf两个文件。后者只要关闭了自动播放动能还是比较好处理。对于55550.dll文件，笔者试途在安全模式下删除，也以失败告终。后找到了它在注册表里的相关项目：

这恐怕又是病毒的一种新的加载方法。进程下不可见，服务里也没有记录，隐蔽性也够高的了。在正常模式和安全模式下，该文件都不可删，同时，相关的*door0.dll文件也一并不可删。该病毒还在注册表键以下地方留下记录：

该键值可能是用来对付杀毒软件，可见保护机制够全面的了。清除以上注册键表键，重起计算机，进入安全模式下，再次删除以上dll病毒文件。一次搞定。 看来，未来的木马病毒，隐蔽性越来越高。不再是以前那种在启动项，启动文件夹或者明显的服务进程里加载了。它们开始把触角伸进了系统底层。而且，绝大部分都会以释放多个病毒体副本，隐藏成设备驱动服务进程，以及在一些注册表特殊的地方注册，以达到保护自身的目的。有些木马病毒而是直接到杀毒软件作为其对手，要么破坏之，要么把它挡在门外，让其无法正常安装。未来的反木马病毒之路，将更加具有挑战性。