Win32.Troj.RootKit

病毒别名：Backdoor.RootKit.122[KV]

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个内核木马，它会把自己的进程，在注册表中的键值，创建的文件，创建的服务隐藏起来，尽最大可能不让受害者发现木马，以使木马长久驻留在受害者计算机中执行外界发来的特定命令。

1.该病毒会把自身复制为%System32%\\rtkit.exe并以服务的形式随计算机启动而运行.

2.在%System32%\\创建文件夹RtKit，该文件夹用来存放该内核木马得驱动程序npf.sys，记录文件rtkit.log，以及动态链接库globalc.dll。

3.加载木马释放的驱动程序npf.sys，HOOK了关键的内核API，释放的动态链接库globalc.dll作为木马与驱动程序通信的接口，木马根据配置文件ntrootkit.ini来隐藏进程，文件，注册表，服务等。

通过注册表的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\RtKit\\KeyName

"0"="HKLM\\SYSTEM\\*NPF"

"1"="HKLM\\SOFTWARE\\RTKIT"

"2"="HKLM\\SYSTEM\\*RTKIT"

来通知驱动程序隐藏指定的注册表键值，以在注册表中隐藏自己。

通过注册表的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\RtKit\\FileDirName

"0"="*SYSTEM32\\RTKIT"

来通知驱动程序隐藏指定的文件或者文件夹，以隐藏自己的文件。

通过注册表的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\RtKit\\ServName

"0"="RTKIT"

来通知驱动程序隐藏指定的服务，以隐藏自己的服务。

通过注册表的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\RtKit\\ServName

"0"="RTKIT"

来通知驱动程序隐藏指定的服务，以隐藏自己的服务。

它还会隐藏自己的进程。

木马是否加载驱动程序标志：

HKEY_LOCAL_MACHINE\\software\\rtkit\\IsUseDriver

加载服务：

NPF，该服务用来加载驱动程序。

RtKit，将自己注册为服务。将自己描述为"Window system rpc service"。

IpFilterDriver， 开设后门服务，隐藏TCP/UDP端口。

开放远程访问注册表服务（Remote Registry），以远程操作受害者计算机系统中的注册表，远程加载木马服务。

设置木马版本信息，为以后升级木马做准备：

HKEY_LOCAL_MACHINE\\software\\rtkit

"MajorVersion"=0x1

"MinorVersion"=0x16

配置文件ntrootkit.ini中：

[HIDDEN PROCNAME]

保存要隐藏的进程名

[HIDDEN REGKEY]

保存要隐藏的注册表主键

[HIDDEN REGVALUE]

保存要隐藏的注册表键值

[HIDDEN FILEDIR]

保存要隐藏的文件夹

[HIDDEN SERVICE]

保存要隐藏的服务

[HIDDEN USER]

保存要隐藏的用户

[HIDDEN TCPPORT]

保存要隐藏的TCP端口

[HIDDEN UDPPORT]

保存要隐藏的UDP端口

使用Sniffer模式收发数据包以和外界通信。

4.窃取用户的系统资料，个人资料等。

5.记录用户的键盘输入，保存在文件rt_passfile.txt中，并会通过该木马泄露出去。

6.外界可以发送预定义的指令，如上传下载文件，运行程序，更新木马和配置文件，设置访问密码，对指定网址发动DDOS攻击等，

7.一旦中了该木马就很难清除，危害很大。