文件名:hookidle.sys
文件名:roothook.sys
位置:c:\windows\system32\drivers\
产品版本:4,1,3285,25
版权信息:Copyright (c) 2004-2005 EMP Corporation
360安全卫士会误报hookidle.sys为可疑文件,并上传样本,不过从网上搜索的记录来看,360的这种判断与上传行为至少有半年时间了,至今没有分析结果出来,所以今天我不得不又一次“被”上传hookidle.sys,这就是所谓“云安全”的“效力”。不过现在360已经不再上传roothook.sys了,估计它已经得到正确的“分析”了,希望如此。除360外,其它一些所谓的安全的工具也会误报hookidle.sys和roothook.sys,如完美卸载(不明白为什么不专门做卸载,非要趟杀毒杀木马的浑水)。还有的专业杀毒软件,如卡巴斯基,也可能对这两个驱动报警。
hookidle.sys和roothook.sys这两个文件,都是微点(主动防御类防病毒木马软件)的驱动程序(已经经过微点证实),并非病毒木马程序,虽然公司名称显示为EMP Corporation(东方微点的简称?但和其它微点文件的属性中的公司名不同)。据说它们会不停变形以对抗病毒,也可能是这个原因导致以上的误报。