運作機理及危害
這是一個Rootkits程式,它會通過鉤掛系統API函式來對病毒進行保護。該Rootkits運行後會創建一個名為“\Device\zlu_drv7”的設備,同時鉤掛nt!ZwQueryDirectoryFile 函式來隱藏以 '_ZLU_' 開頭或者名為 'ZLU_DRV7.sys'的檔案(大小寫不敏感)。通過鉤掛 nt!ZwQuerySystemInformation 函式來隱藏以 '_ZLU_' 開頭的進程(大小寫不敏感),以及 nt!ZwOpenProcess 和 nt!ZwOpenThread 函式來保護以 '_ZLU_' 開頭的進程及其執行緒不被打開(大小寫不敏感)。
由於該Rootkits通過鉤掛系統API對病毒檔案及記憶體中的進程等進行隱藏,因此用戶和防毒軟體都無法發現並清除它們。
瑞星卡卡上網安全助手3.0的“碎甲”技術可以使Rootkits失效,從而讓該Rootkits和被其保護的病毒檔案暴露在防毒軟體面前。
反病毒專家建議電腦用戶採取以下措施預防該病毒:1、登錄http://tool.ikaka.com,下載並安裝免費的瑞星卡卡3.0。2、點擊“立即升級”按鈕,升級到最新版本,重新啟動計算機。3、升級防毒軟體到最新版本,進行全盤掃描。
