瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 “新版灰鸽子”的一些特点及手工查杀举例

12345678»   1  /  27  页   跳转

“新版灰鸽子”的一些特点及手工查杀举例

收藏
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-11 16:09 | 只看楼主 短消息 资料
字号: 1楼

“新版灰鸽子”的一些特点及手工查杀举例

目前,新版灰鸽子开始流行。看了几个网友的杀毒报告和HijackThis1.99.1扫的日志,归纳出以下特点,供朋友们自己动手查杀时参考:

1、木马文件所在位置不定。目前,看到三种情况:
(1)木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。
(2)木马文件在%windows%\Internet Explorer\文件夹中(这个文件夹是灰鸽子创建的)。
(3)木马文件在%system%\drviers\文件夹中。

2、可执行文件.exe的文件名变化不定。目前见到的有:

C:\windows\Internet Explorer\svchost.exe

C:\WINDOWS\system32\drivers\UPS.exe

3、共同的特点:
(1)以前的.DLL文件没了,改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本,感染系统后,在C:\windows\下创建一个名为Internet Explorer的文件夹;生成的木马文件位于C:\windows\Internet Explorer\文件夹内(杀毒前,用资源管理器看不到其中的木马文件)。用IceSword可看到这个文件夹中的两个木马文件svchost.exe和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。
(2)HijackThis1.99.1日志中可以发现异常系统服务项O23。如:O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中,括弧中的virtual就是要删除的注册表项;C:\windows\Internet Explorer\是木马可执行文件所在的文件夹,svchost.exe是木马的可执行文件。
(3)感染系统后,那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程(见附图中的红色部分)。这正是灰鸽子难杀的根本原因。
4、手工查杀(以我拿到的那个样本为例):
在IceSword的“设置”中勾选“禁止进程创建,结束木马进程(本例是C:\windows\Internet Explorer\svchost.exe)、iexplore.exe(IE浏览器进程)。
用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项(本例是virtual和mchInjDrv,均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支)。
在IceSword的“设置”中取消“禁止进程创建”,重启系统。
将C:\windows\Internet Explorer\整个文件夹删除。

附件附件:

下载次数:2
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-11 16:09:27
描述:



最后编辑2008-03-24 13:56:45.250000000
分享到:
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-09-11 16:10 | 短消息 资料
字号: 2楼

顶~~~~~~~~~~~~~~~~~`
班竹的精华贴,绝对收藏!
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-09-11 16:13 | 短消息 资料
字号: 3楼

在IceSword的“设置”中勾选“禁止进程创建”班竹,这个在哪?我怎么没看到??还有:“用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项(本例是virtual和mchInjDrv,均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支)。”这两步操作,我好像没发现这个IceSword可以删除文件?????
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-11 16:26 | 只看楼主 短消息 资料
字号: 4楼

引用:
【独孤豪侠的贴子】在IceSword的“设置”中勾选“禁止进程创建”班竹,这个在哪?我怎么没看到??还有:“用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项(本例是virtual和mchInjDrv,均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支)。”这两步操作,我好像没发现这个IceSword可以删除文件?????
...........................

看下面两个图

图1

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-11 16:26:01
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-11 16:26 | 只看楼主 短消息 资料
字号: 5楼

图2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-11 16:26:51
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-09-11 16:27 | 短消息 资料
字号: 6楼

你真的不该只是3个精华
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-09-11 16:30 | 短消息 资料
字号: 7楼

呵呵,这个东东的菜单栏我还没细心看过,sorry!
还有SSM有没中文的,都是英文用来不方便!!呵呵~~
gototop
 
惡魔メ寶貝
头像
拙长孩提狮
  • 帖子:111
  • 注册: 2005-09-10
  • 来自:
发表于: 2005-09-11 16:30 | 短消息 资料
字号: 8楼

顶~~~斑竹厉害哦。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-11 16:32 | 只看楼主 短消息 资料
字号: 9楼

回复“独孤豪侠”接着看:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-11 16:32:21
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-11 16:33 | 只看楼主 短消息 资料
字号: 10楼

再看

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-11 16:33:39
描述:
gototop
 
<<上一主题|下一主题>>
12345678»   1  /  27  页   跳转
页面顶部
Powered by Discuz!NT