关于系统文件debug.exe和taskmgr.exe被篡改

　　这是近些天流行起来的一个木马下载器。我拿到的样本是Gameeeeeee.pif。

　　此样本来自：http://bbs.janmeng.com/thread-787305-1-1.html

　　此病毒释放/改写/下载的文件：

　　http://bbs.ikaka.com/attachment.aspx?attachmentid=422864

　　注：

　　1。如果能有效阻止病毒驱动ntkapi.sys释放、加载，此毒不能穿还原，也不能篡改系统程序debug.exe和taskmgr.exe。

　　2。windows目录下的病毒文件.exe为四位随机字母文件名，每次感染均变化。

　　此毒的注册表改动：

　　http://bbs.ikaka.com/attachment.aspx?attachmentid=422865

　　样本提供者还提供了一个Gameeeeeee.vbs。监控了一下其运行：Gameeeeeee.vbs运行后，到C:Documents and SettingsAdministratorLocal SettingsTemp目录下找Gameeeeeee.pif。找到后，即刻加载运行之。看来，这可能是个来自网络的脚本病毒。

　　我事先用工具禁止了任何程序针对%system%drivers目录的创建/写入操作，然后在影子环境下运行此病毒样本，重启后，系统一切正常（system32目录下以及dllcache目录下的debug.exe、taskmgr.exe等还是系统程序，病毒未能改写之）。

　　这里的关键是：病毒在%system%drivers目录下释放ntkapi.sys的动作被俺成功阻截了。

　　至于病毒可能释放驱动的其它位置，如：系统根目录、%Program Files%Internet ExplorerPLUGINS目录、当前用户temp目录、%windows%　　emp目录.....，用户也应采取恰当防护措施，禁止外来程序在上述目录下创建.sys文件。