瑞星卡卡安全论坛

http://endurer.blogchina.com/4710035.html

endurer　原创

2006-03-28　第4版　补充了Kaspersky的反应
2006-03-23　第3版　做了一些总结
2006-03-22　第2版补充了瑞星为灰鸽子的DLL文件定义的病毒名

2006-03-21　第1版


这个灰鸽子新变种是在

清除QQ尾巴yuuikkj.EXE
http://endurer.blogchina.com/4706316.html

的过程中发现的。

当时用IceSword观察QQ.EXE进程调用的模块时发现了一个d:\windows\svchosts.exe，看文件名比较可疑。

由于IceSword远程操作时反应比较慢，所以这里用ProcView导出的进程模块列表来说明：

--------------------------------------------------------------------------------
*您正在使用的是Windows XP (5.1.2600 Service Pack 2)
2006-3-20 22:58:23 进程列表
[System Process]
  F:\virus\procview\procview.exe
  D:\WINDOWS\system32\ntdll.dll
  D:\WINDOWS\system32\kernel32.dll
  ...（略去无关的模块）
  D:\Program Files\Tencent\qq\DShared.dll
  D:\WINDOWS\svchostsKey.DLL
  ...（略去无关的模块）

--------------------------------------------------------------------------------

但设置系统显示所有文件和文件夹后，用WinRAR在D:\WINDOWS中还是看不到svchostsKey.DLL这个文件，只发现了svchostsKey.log，这个可能是个记录用户在键盘上的按键的文件。

用IceSowrd查看，在D:\WINDOWS中发现了

--------------------------------------------------------------------------------
svchosts.DLL
svchosts.exe
svchostsKey.DLL
--------------------------------------------------------------------------------

三个可疑文件。


附件: 1603652006322122440.jpg

{*
后来测试
svchosts.DLL瑞星报为Backdoor.Gpigeon.wnw

svchostsKey.DLL瑞星报为Backdoor.Gpigeon.wnv

主　题： 病毒上报邮件分析结果－流水单号:2179671
  发件人： ""  收件人： "" 
  抄　送： (无)
  优先级： PriCommon
  提 示：  信件格式不当,没有附件 


尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：svchosts.exe
    病毒名：Backdoor.Gpigeon.wzo

    我们将在较新的18.19.21版本中处理解决，请您届时将您的瑞星软件升级到18.19.21版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。


使用2006-03-28 11:17:36的病毒库的Kaspersky将svchosts.exe报为Trojan-Proxy.Win32.Agent.iu。
}


估计FindFirst等API函数被灰鸽子hook掉了。


用IceSword把D:\WINDOWS\svchostsKey.DLL模块退出，在WinRAR中还是看不到三个可疑文件。

但在IceSword中无法将这三个可疑文件打包备份！IceSword好像不支持文件拖放，如果能调用系统Shell右键菜单菜单就好了。

用IceSword的右键菜单中的Copy to把三个可疑文件复制到f:\virus，但由于没有改变目标文件名，所以虽然文件已经复制到了f:\virus，但当时还是看不到。

到http://endurer.ys168.com下载了“下次启动时自动删除文件”程序0.0004版，手工把D:\WINDOWS\svchosts.DLL、D:\WINDOWS\svchosts.exe和D:\WINDOWS\svchostsKey.DLL加入待删文件列表，然后“修改所有文件名”，D:\WINDOWS\svchosts.DLL和D:\WINDOWS\svchostsKey.DLL成功地加上了.bak扩展名，而D:\WINDOWS\svchosts.exe则改名失败。

{* endurer注：“下次启动时自动删除文件”程序0.0005版已增加右键调用系统关联菜单功能，可用于进行文件打包！}

这样在WinRAR中可以看到D:\WINDOWS\svchosts.DLL.bak和D:\WINDOWS\svchostsKey.DLL.bak两个文件，都打包备份了，然后“下次开机时删除”。

这时已经快到凌晨12点了，先让这位网友卸掉江民，安装卡巴斯基扫描。

今天中午继续与网友处理灰鸽子。

用IceSword在D:\WINDOWS中只发现svchostsKey.log，没有发现svchosts.DLL.bak、svchosts.exe和svchostsKey.DLL.bak三个文件，估计是被“下次启动时自动删除文件”程序干掉了。

打开f:\virus，昨晚用IceSword拷进来的svchosts.DLL、svchosts.exe和svchostsKey.DLL三个文件也可以看到了。

再用HijackThis扫描简明log，终于看到了这个灰鸽子的系统服务启动项：

--------------------------------------------------------------------------------
O23 - Service: COM+ System Applications - Unknown owner - D:\WINDOWS\svchosts.exe (file missing)
--------------------------------------------------------------------------------


注意：这个服务名比Windows系统内置的服务

--------------------------------------------------------------------------------
COM+ System Application: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
--------------------------------------------------------------------------------

的服务名后尾多了一个英文字母s。

打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service，找到并删除COM+ System Applications子键。

总结：

1、合理应用杀毒软件商提供的在线免费查毒功能，能事半功倍。在本例中，灰鸽子文件svchosts.DLL和svchostsKey.DLL都可以被瑞星查杀，如果先使用瑞星在线免费查毒服务扫描系统，处理起来也许就不必这么麻烦了。

2、对于灰鸽子之类隐藏自身文件和系统服务的程序，还是在安全模式下（远程协助可以使用带网络连接的安全模式）处理比较好。在本例中，由于该网友的电脑无法以安全模式启动，在一般模式下处理就多费手脚了。在命令提示符窗口中处理又太慢了。

3、IceSword是很强大的系统检测和修复工具，但还是有一些不足：

1）在远程协助中使用，反应速度比较慢。在删除注册表中的灰鸽子系统服务启动项时，开始想用IceSword删除，但最后还是用注册表编辑器regedit.exe来实施。

2）不支持文件和文件夹拖放，不支持文件改名，不能调用系统Shell关联菜单。

4、由于IceSword 1.12版的不足，所以对于灰鸽子之类隐藏自身文件的程序，在用IceSword的Copy to功能复制被隐藏的文件时最好在指定目标文件名时最好改变文件名或者加上.bak之类的扩展名，使文件可以显示出来，以便进行文件打包等操作。

5、HijackThis 1.99.1版生成的简明log及启动项列表均不能列出系统进程所调用的模块文件，这不利于发现以DLL文件等形式注入其他进程运行的病毒、木马等恶意程序。

顶！！