杀软破坏者 mmc.exe,beep.sys分析

~~.exe是个“杀软破坏者”（MD5值：E2B146633D46B773A4519ED9F6A4D202）。样本来自：http://bbs.janmeng.com/thread-782958-1-1.html

此毒运行后，修改drivers目录下的驱动程序beep.sys，恢复SSDT，使杀软、防火墙监控失效。
此毒在系统根目录下创建形如C:\001EDF42的随机数字名文件夹，并在此文件夹内创建无后缀的随机数字名病毒文件若干；以病毒程序mmc.exe替换system32目录下的系统程序mmc.exe，导致组策略失效、gpedit.msc不能运行。如果用户强制替换病毒程序mmc.exe，下次系统启动时无法进入桌面（无休止地弹出“创建空文件失败”的提示窗口）。
另外，此毒还自网络下载不少病毒程序到系统中。
总之，用户一旦中了此毒，收拾残局时非常麻烦。尽管病毒还留下了IceSword这样的工具给用户使用，但中毒后，用户即使找到全部病毒文件，用IceSword一一强制删除，也没用！重启后，系统根目录下那个“随机数字”文件夹及其中的病毒文件又全部复原了！

然而，此毒有一个软肋：如果用户事先通过安全软件禁止任何程序在系统根目录下创建文件夹，此毒就死掉了（图1）。

尽管它改写了beep.sys，但SSDT并未恢复。SSM、瑞星、TINY等监控依然有效（图2）。

此规则对象的详细设置（图4）

用瑞星的主动防御也可实现类似的设置。

总之，如果用户事先有所防范，即或遇到这个病毒，也不至于惨到重做系统的地步。

“生病后再吃药永远不如有效地预防疾病”。

TINY阻止任何文件在系统根目录下创建文件夹的设置见图3

http://bbs.ikaka.com/showtopic-8529163.aspx