发现新病毒- Boot Time(lnajr, stxdnpbp.dll)
今天中午发现电脑有一些异常(忘记如何异常法了,只觉得有些不对劲),于是就想起来检查系统服务项目。检查后发现多了一个“Boot Time”的服务(服务名为lnajr,显示名为Boot Time),这是一个通过svchost.exe -k netsvcs加载的程序,其描述是“监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。”。开始我还以为这个是某个驱动程序,后来觉得描述和“Logical Disk Manager”服务有些相关,就比较了一下发现居然是一样的描述。这就表明这肯定是一个恶意程序乃至是病毒的服务项了。
打开注册表想看看这个服务项的内容,却发现lnajr项下面是空空的。连一点“Boot Time”的信息都没有,不要说ServiceDll了。只好再打开Autoruns这个工具来查看,却发现根本就找不到lnajr这个项目。最后只好找出IceSword这个工具来,倒是在这里的注册表里查到了这个服务的信息:Enum(0: Root\LEGACY_LNAJR\0000; Count: 0×1; NextInstance: 0×1),Parameters(ServiceDll: C:\WINDOWS\system32\stxdnpbp.dll)。Google这个stxdnpbp.dll文件却查不到结果,看来只好自己手工清理了。
在磁盘中找到stxdnpbp.dll文件后,却发现无法将其拷贝到其它目录,用ATTRIB修改其属性也不行,只能改名。由于不确定这个dll是否已经加载了,就只好先改名重启。重启后,想起来应该查看这个文件的安全权限,发现其只有一个EveryOne的遍历权限,添加了管理员的权限后,所有的对其的操作都可以进行了。
分析了这个文件后,发现不到什么线索,只好将文件备份留底,然后把注册表清理掉。又看了一下系统日志,也只有今天一开机后有错误说“Boot Time”服务无法启动,而之前都没有这个服务的信息,看来这个病毒是昨天或者今天才驻进来的,应该不会有太大危险了。这个lnajr病毒的分析就只能暂时告一个段落了。不知道过一段时间查毒软件可不可以查到这个病毒了。
