天高云淡

此程序为rootkit类型程序。

1．反调试。

在驱动初始化时，比较中断0×9（协处理器异常）和中断0xE（页失败异常）的处理例程地址的高8位是否相同，不同则置中断0xE的处理例程地址的高16位为0；通过sidt得到idt基址，并得到中断0×9的处理例程的地址到eax，大致如下：

.text:004004DF and eax, 0FF000000h
.text:004004E4 mov [ebp-4], eax

接着得到中断0xE的处理例程地址，并将得到地址的高8位置eax，然后比较两个中断例程的地址高8位是否相同：

.text:0040050A cmp eax, [ebp-4]

假如不相等则将中断E的处理例程地址的高16位0，使其指向一个错误的地址。破坏该中断的功能。

由于很多调式器会挂接中断0xE，该Rootkit这样做可以使该程序在调式时造成系统蓝屏。因此这是作者设置的反调式陷阱。

2．破坏磁盘级还原/保护软件。

IRP_MJ_CREATE例程负责得到磁盘设备对象，并检测该设备栈上是否有其他设备挂接，假如有则保存该设备并去除该挂接。

调用IoGetDeviceObjectPointer函数得到设备名“\\Device\\Harddisk0\\DR0”的设备对象。

接下来将挂接在该设备对象的所有设备对象均除去。大致的代码如下：
…
.text:00400586 cmp [eax DEVICE_OBJECT.AttachedDevice], 0
.text:0040058A jz short loc_40059A ；比较是否有挂接的设备，没有跳过下面
.text:0040058C jmp short $ 2
.text:0040058E mov ecx, [eax DEVICE_OBJECT.AttachedDevice]
.text:00400591 xchg ecx, old_dev_attached ；保存该挂接设备，并去除该挂接
.text:00400597 mov [eax DEVICE_OBJECT.AttachedDevice], ecx
…

这样做可以破坏一些磁盘还原软件。该作者也号称可以过一个叫“冰点”保护系统，既让其保护功能完全失效。

该Rootkit功能比较单一，但是造成的破坏会比较大，对一些依靠于硬盘还原软件的计算机用户会造成比较大的损失，例如大部分网吧。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.41.20版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Rootkit.Win32.Paice.a
截获时间：2007-9-18
入库版本：19.41.20
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

破坏力：低

清除难度：困难

破坏手段：破坏磁盘保护软件