关于系统文件debug.exe和taskmgr.exe被篡改

这是近些天流行起来的一个木马下载器。我拿到的样本是Gameeeeeee.pif。

此样本来自：http://bbs.janmeng.com/thread-787305-1-1.html

此病毒释放/改写/下载的文件：
 
http://bbs.ikaka.com/attachment.aspx?attachmentid=422864

注：

1。如果能有效阻止病毒驱动ntkapi.sys释放、加载，此毒不能穿还原，也不能篡改系统程序debug.exe和taskmgr.exe。
2。windows目录下的病毒文件.exe为四位随机字母文件名，每次感染均变化。

此毒的注册表改动：
 
http://bbs.ikaka.com/attachment.aspx?attachmentid=422865

样本提供者还提供了一个Gameeeeeee.vbs。监控了一下其运行：Gameeeeeee.vbs运行后，到C:\Documents and Settings\Administrator\Local Settings\Temp目录下找Gameeeeeee.pif。找到后，即刻加载运行之。看来，这可能是个来自网络的脚本病毒。

我事先用工具禁止了任何程序针对%system%\drivers目录的创建/写入操作，然后在影子环境下运行此病毒样本，重启后，系统一切正常（system32目录下以及dllcache目录下的debug.exe、taskmgr.exe等还是系统程序，病毒未能改写之）。

这里的关键是：病毒在%system%\drivers目录下释放ntkapi.sys的动作被俺成功阻截了。

至于病毒可能释放驱动的其它位置，如：系统根目录、%Program Files%Internet Explorer\PLUGINS目录、当前用户temp目录、%windows%\temp目录.....，用户也应采取恰当防护措施，禁止外来程序在上述目录下创建.sys文件。