Rootkit.Ressdt.j“SSDT杀手”变种j是“SSDT杀手”木马家族中的最新成员之一,采用“Microsoft Visual C++ 7.0”编写。“SSDT杀手”变种j运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\shellext\”目录下,重新命名为“svchost.exe”,并设置文件属性为“系统、隐藏、只读、存档”。在“%SystemRoot%\system32\”目录下释放一个恶意DLL功能组件“xiaoxiao_sls.sls”,该DLL组件是一个专门盗取网络游戏账号信息的木马程序,会在被感染计算机系统的后台监视网页或游戏的登录窗口等,并通过消息钩子、键盘监听等方式窃取用户的私密信息,并将所窃得的信息发送到骇客指定的邮箱里,给被感染计算机的用户造成不同程度的损失。“SSDT杀手”变种j还会在“%SystemRoot%\system32\drivers\”目录下释放一个恶意驱动程序“aec.sys”,其可通过恢复SSDT(系统描述服务表)来破坏安全软件自我保护、系统监视、主动防御等功能,还会干扰安全软件的正常运行。同时,“SSDT杀手”变种j会在除系统盘以外的所有分区根目录下创建“autorun.inf”和病毒主程序文件“autorunx.exe”(文件属性设置为:系统、隐藏、只读、存档),从而实现了双击盘符激活“SSDT杀手”变种j,达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,为用户的正常使用造成了更多潜在的威胁。另外,“SSDT杀手”变种j会通过在被感染计算机系统注册表启动项中添加键值的方式来实现木马开机自启动。
/1 
鄂公网安备42010202000179号 )
