182012
 

昨天闲的蛋痛的时候,拿起以前从网上下载的一个反rootkits软件扫描了一下自己的电脑。

大部分项目都是正常的,没有可疑进程,没有可疑服务,没有可疑端口被打开。然而在内核模块的扫描中却发现了一些莫名其妙的东西。
先是有个奇怪的驱动程序加载进来了,而这个驱动程序在磁盘上并不存在,看上去只在内存里有:
2
存在三个内核线程:3
还劫持了内核文件:
4
在文件系统上面放了一堆的钩子:
5
微端口驱动也被Hook了:
6
更恶劣的是重启之后它名字还会变化,以sp开头,后跟两个随机字母,然后是sys结尾:
正则表达式可以写成/^sp[a-z]{2}\.sys$/
22
这个“内核文件劫持”的名字也是在变的:
55

看起来确实是中了某种rootkits无疑了,然而又很令人疑惑的是它只是静静的呆在那里,并不和外界联络,因为不管用哪种方法都无法找到它使用网络的一点点踪迹,换了好几种ARK工具扫描,都只是知道它改了些东西,但是并没做什么恶意的举动。
网络连接里所有的端口都是正常的,它似乎只是在本地默默注视着什么,有什么使命呢?

用sp.sys放到Google一搜,发现早在数年以前就已经有人发现这个问题了,我真是后知后觉啊。原来它是Daemon Tools的驱动SPTD.sys搞出来的玩意儿,目的似乎就是在本地保护这个软件的注册信息牢固的存在于系统中不被删除或修改,以达到防止盗版的目的。

sptd.sys这个驱动我倒是早就注意过,Daemon Tools有必要这样打击盗版么,为了自己的经济利益不惜往全世界所有信任它、使用它的客户的PC上面安装rootkits,真是够令人恶心的了。

解决方法:删除C:\Windows\System32\drivers\sptd.sys,重启即可。
        以后再也不要用这个流氓了,试试WinMount之类的软件吧,比Daemon Tools好用。

顺便提一句,我尝试的ARK工具里面包括360的系统急救箱,现在它在我系统里放了一个同样会变换自己名字的驱动,每次开机自动加载,不知道去掉它呢?请神容易送神难啊。
2