瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » Dropper.Delf.av将“灰鸽子2.0”引入系统
baohe - 2005-8-26 14:21:00
感谢“老肥羊”网友提供Dropper.Delf.av样本love.exe。
用卡巴斯基今天最新病毒库扫love.exe——不报毒。

一、用样本love.exe感染系统后,观察到以下改变:
1、创建木马文件:
在%windows%目录下创建G_Server2.0.exe;
在%system%目录下创建vxeras.sys和cpoiuyk.dll。
2、注册表改动:
(1)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支下添加注册表键GrayPigeonServer2.0,指向C:\windows\G_Server2.0.exe;
(2)在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\分支下添加注册表键VANTI,指向C:\windows\system32\vxeras.sys。

3、HijackThis1.99.1日志中可见:
  O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\windows\G_Server2.0.exe
4、感染后,重启系统,IceSword的进程列表中可见iexplore.exe进程(虽然此时IE浏览器并未打开)。这点与“灰鸽子2005”相同。


二、手工查杀过程:
1、在IceSword的“设置”中勾选“禁止进/线程创建”。
2、结束iexplore.exe、explorer.exe以及其它非必要进程。
3、删除%windows%目录下的G_Server2.0.exe;删除%system%目录下的vxeras.sys和cpoiuyk.dll。
4、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:GrayPigeonServer2.0

(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:VANTI


附件是病毒样本,没把握者请勿下载。



附件: 1558472005826143923.rar
天天泡泡 - 2005-8-26 14:28:00
这过程都有点什么味道了。
baohe - 2005-8-26 14:33:00
引用:
【天天泡泡的贴子】这过程都有点什么味道了。
...........................

我还特意留心了一下那个.sys。
用样本感染系统后,什么都没动,立刻重启。
结果,那个.sys看来是个摆设!!
仅此一仙 - 2005-8-26 14:34:00
斑竹:能不能把病毒样本提供给我测试一下——
zplinux@21cn.com
baohe - 2005-8-26 14:40:00
引用:
【仅此一仙的贴子】斑竹:能不能把病毒样本提供给我测试一下——
zplinux@21cn.com
...........................


已将样本加入附件中。
和平爱好者 - 2005-8-26 14:41:00
仅此一仙 - 2005-8-26 14:50:00
斑竹,提个建议:
1.发帖子不支持HTML源代码直接粘贴么?如果支持就好了,我就可以直接把我个人主页的文章直接发布在论坛上了,详情请看我的帖子——
http://forum.ikaka.com/topic.asp?board=28&artid=7073943
2.附件允许的最大容量为1Mb,有些工具无法提供,能否加大一些?
baohe - 2005-8-26 15:01:00
引用:
【仅此一仙的贴子】斑竹,提个建议:
1.发帖子不支持HTML源代码直接粘贴么?如果支持就好了,我就可以直接把我个人主页的文章直接发布在论坛上了,详情请看我的帖子——
http://forum.ikaka.com/topic.asp?board=28&artid=7073943
2.附件允许的最大容量为1Mb,有些工具无法提供,能否加大一些?
...........................

这些问题,请向“狮王心”反应。我们这些小版主无权处理这类问题。
淡漠心情 - 2005-8-26 15:11:00
引用:
【仅此一仙的贴子】斑竹,提个建议:
1.发帖子不支持HTML源代码直接粘贴么?如果支持就好了,我就可以直接把我个人主页的文章直接发布在论坛上了,详情请看我的帖子——
http://forum.ikaka.com/topic.asp?board=28&artid=7073943
2.附件允许的最大容量为1Mb,有些工具无法提供,能否加大一些?
...........................
老肥羊 - 2005-8-26 15:47:00
【回复“baohe”的帖子】谢谢baohe,现在我的电脑好象已经搞定了,如果再有问题我还是会继续麻烦你的啦~~~~
q3zz - 2005-8-26 15:48:00
startup:                             
                                pushfd
pushad
pushedx
sgdt  [esp-2]
popedx
moveax,edx ;EDX.EAX->GDT BASE
movecx, 3e8h
.ifdword ptr [eax+ecx+4]!=00cf9a00h ;3e8 ring0 code32
movbyte ptr [eax],0c3h ;ret
movdword ptr [eax+ecx],0000ffffh
movdword ptr [eax+ecx+4],00cf9a00h
.endif
push edx
sidt  [esp-2]
pop edx
add edx,HOOKINT*8 ;edx->int 20h
.ifdword ptr [edx+2]!=0ee0003e8h;int 20 gate ->gdt base(ret)
movdword ptr[edx+2],0ee0003e8h
mov[edx],ax
shreax, 16
mov[edx+6], ax
.endif
popad
popfd
xoreax, eax
ret8
endstartup
xjt999 - 2005-8-26 16:21:00
真是防不胜防啊
从头爱你 - 2005-8-26 16:27:00
.....这里的斑竹镇强悍
.....


.....
都是什么人物阿````
小冰55 - 2005-8-26 16:34:00
班竹在吗?我刚才中了,可是请问Icesword是什么呀?
                          我的进程中只有EXPLORER.EXE
                          在你们所说的目录中找不到你们所说
                          那几个文件,注册表中也没有,
          但是一开机杀内存时又会杀出这个病毒来,请问我要  怎么办?谢谢
baohe - 2005-8-26 16:43:00
引用:
【小冰55的贴子】班竹在吗?我刚才中了,可是请问Icesword是什么呀?
                          我的进程中只有EXPLORER.EXE
                          在你们所说的目录中找不到你们所说
                          那几个文件,注册表中也没有,
          但是一开机杀内存时又会杀出这个病毒来,请问我要  怎么办?谢谢
...........................

1、IceSword是个很棒的工具。但是,新手使用时要谨慎。这个工具就在下面这个帖子第3楼的附件中:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
2、木马、病毒文件多位隐藏文件。要找到它们,必须先设置好“文件夹选项”(显示隐藏文件和系统文件)。
小冰55 - 2005-8-26 16:48:00
搞了一下午为这个病毒,都搞不定,我再去找。可不可加我QQ呀,先谢谢了,34027391,谢谢谢谢
命运里の金色 - 2005-8-26 16:56:00
下载试下,现在的木马呀,真是....什么都有
小冰55 - 2005-8-26 16:56:00
还是搜不出,杀也杀不到,重新开机就出现病毒,晕掉呀
carey00 - 2005-8-26 20:11:00
汗死,我中了这个毒,用瑞星杀完重启后还有,用楼主的方法手动杀,可是找不到WINDOWS和SYSTEM下的要删除的文件,我已经选择了显示所有文件和文件夹,到注册表里也找不到要删除的两个键,谁杀成功了呢,请帮忙下吧
花落花又开 - 2005-8-26 21:31:00
系统直接被开了个“后门”
moshengren - 2005-8-27 1:19:00
请问现在还有高手在吗?我中了一个叫Trojan.DL.Agent.vs的病毒请问我该怎么办?
壹桶姜山 - 2005-8-27 6:44:00
感谢楼主提供样本..偶本想中招试试..看看效果如何.顺便提高..可一直不得中招..咯咯..这下就好啦..咯咯..
波利 - 2005-8-27 7:12:00
灰鸽子是什么用的啊?? 我对病毒不怎么了解~我现在开始要了解病毒啦~~
仅此一仙 - 2005-8-27 9:31:00
感谢斑竹baohe提供病毒样本供测试,
有两点意见与版主提供的意见不符:
1、创建木马文件:在%system%目录下创建vxeras.sys和cpoiuyk.dll。
2、注册表改动在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\分支下添加注册表键VANTI,指向C:\windows\system32\vxeras.sys
我测试的环境是:windows xp sp1
测试过程中并没有发现这两点改变。
此外我发现注册表还有两处改动:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
……
测试过程我截取了21幅图片,加以说明。
限于篇幅关系,我就不一一贴上来了,
详情请访问我的个人主页:http://zp128.home4u.china.com
435245 - 2005-8-27 10:01:00
斑竹,没有杀毒软件,可以杀掉他吗?
仅此一仙 - 2005-8-27 11:01:00
【回复“435245”的帖子】
参见我发布的帖子,不需要杀毒软件手动搞定!
akdjh - 2005-8-27 11:50:00
又变异啦,今天刚杀了灰鸽子,希望别跑我电脑里来,希望竟快出个补丁
baohe - 2005-8-27 14:10:00

love.exe再次感染XPSP2系统的几幅截图:

创建的文件

附件: 1558472005827141016.JPG
baohe - 2005-8-27 14:12:00
【回复“仅此一仙”的帖子】

注册的系统服务

附件: 1558472005827141225.JPG
baohe - 2005-8-27 14:13:00
【回复“仅此一仙”的帖子】

注册表改动:1

附件: 1558472005827141322.JPG
12
查看完整版本: Dropper.Delf.av将“灰鸽子2.0”引入系统
© 2000 - 2026 Rising Corp. Ltd.