瑞星卡卡安全论坛

中了灰鸽子,用Rising的在线扫描发现的
本来想手动杀,但是在IceSword下面根本就发现不了iexplore.exe这个隐藏进程!这是怎么回事啊?
难道灰鸽子现在进步了,连IceSword都不能搞定了?

难过........

另外,各位大大,请问灰鸽子在哪个文件夹下面会留log记录?我忘了,呵呵

附件: 560896200648100602.JPG

这是灰鸽子生成的服务.

附件: 560896200648100643.JPG

另外,早期的灰鸽子特征已经不再适用.
请版大和其他高手支招~~

关注

注册表中删除服务就可以,用不着用IceSword,IceSword一般用来发现驱动木马

鸽子只是插入进程

鸽子好像也不是很难处理吧，多数人按照置顶贴的方法就搞定了．

引用:

【命运里の金色的贴子】注册表中删除服务就可以,用不着用IceSword,IceSword一般用来发现驱动木马 鸽子只是插入进程 ...........................

早期的灰鸽子会利用一个隐藏的iexplore.exe进程来调用自身的dll，达到随系统启动的目的。现在这个灰鸽子没有这个特征。或者说有这个特征，但是我在IceSword中看不到那个隐藏的iexplore.exe，这也是我所担心的地方——难道IceSword真的被灰鸽子攻破了？？？

另外，在灰鸽子的病毒文件中发现一个国内网站的域名，目前正在追查中……

引用:

【友好人士的贴子】鸽子好像也不是很难处理吧，多数人按照置顶贴的方法就搞定了． ...........................

置顶帖里面所介绍的特征，也只是针对灰鸽子的某一变种而已，是针对性很强的方法，对其后的变种不一定有效。针对性太强，在短期内效果很好，但同时也是一种无奈之举！我们除了知道它们都叫同一个名字——“灰鸽子”以外，每一次它产生新的变种，我们都需要更新置顶帖里面的具体操作方法。
我怀疑这个就是最新的变种。按照置顶帖里面的方法——我大概浏览了一下——没有办法删除它。它也不符合其中所描述的特征。

强烈关注。

最郁闷的是现在用的操作系统是2003,装不上卡巴.
用过KV和瑞星,但是感觉都不是很爽,再加上平时对毒源比较敏感,中毒几率比一般电脑用户小很多,所以就没有装杀软了.

前天游戏的时候,下载了一个QQ音速的WG,叫"QQ音速圈圈"的,一点儿作用都没有,当时就在怀疑.特别是启动的时候,1M左右的小程序,鼠标显示"繁忙"都超过2秒钟了,才看见WG的界面弹出来....

唉~  大意了~~~~

没法儿脱壳~~  郁闷!

进安全模式下面去看看,等一下再来报告情况

附件: 560896200648112827.JPG

安全模式下面也看不到....
应该安全了吧....

【回复“NetBurst”的帖子】
如果你能找到这只鸽子的.exe文件，请打包，发到我的邮箱：baohelin@yahoo.com.cn

baohe大大发言了
哈哈哈~~~

好的,现在就发送.

【回复“NetBurst”的帖子】
如果你能找到这只鸽子的.exe文件，请打包，发到我的邮箱：baohelin@yahoo.com.cn

请baohe大大注意查收.

【回复“NetBurst”的帖子】
我邮箱中的TASKMAN.EXE（解压密码virus123）如果是你发的，那么，这只鸽子并不新。
iexplore.exe在IceSword中可见（图1）；此进程被结束后，TASKMAN.EXE即可删除。注册表清理也简单（图2）。

图1

附件: 155847200648130648.jpg

图2

附件: 155847200648130747.jpg

图3：尸体

附件: 155847200648131351.JPG

这个文件确实为我发的

注册表的清理简单,关键是IE进程,我当时开了两个独立的IE窗口(两次双击IE图标,打开两个IE),IceSword中发现两个IE进程,并没有出现第三个IE进程.这是其一.
其二,这个灰鸽子不符合目前已知的灰鸽子特征,且我只发现了一个病毒体,就是刚刚发送给你的TASKMAM.EXE,而且入口单一到只有一项服务,木马的编写者似乎对这个入口充满信心,认为它不会被发现.对于一个功能完善的木马来说,这是不可思议的.
其三,没有发现任何开放的端口.即使进程隐藏,端口也是需要开放的.但是这次染毒之后,竟然没有发现开放的端口,让我觉得很不安.

baohe大大说的进程,我把浏览器关闭了再看一下吧。

因为已经把病毒的入口取掉,同时重新启动过,已经看不到baohe大大说的进程了...

希望只是我太过担心造成的...

这是不是那个杀软每次都指向IE的鸽子~？
另，那个taskmam.exe 在IE运行后是不是自动结束自身运行了~？（在任务管理器或Icesword 中能看到它运行吗？)

这个文件（taskmam.exe ）是随机出现的，还是固定的~？

固定,随机出现
启动后会结束自身

另:看不到IE进程,所以当时也就无法检查其在IE中插入了哪些线程.
我总觉得问题没有这么简单,但是也相信baohe大大的结论.
目前已经看不见任何的迹象了,包括端口,Explorer和iexplore的线程都是正常的,决定不再担心了,算是告一段落.

请问灰鸽子都会捆绑在什么类型的文件里？
我只知道除了EXE等可执行文件，图片也有可能带毒，但是像rmvb、mp3这类的媒体文件会被捆绑病毒吗？RAR文件？ISO文件？
另外，被捆绑病毒的文件瑞星能查出来吗? 并且清除病毒？

捆绑?你是指注入的途径吧?

和exe程序捆绑是最主要的形式,但是最近也有通过RealPlayer插件来注入的形式,这应该算式比较极端的情况了.更厉害的就没有见过鸟~

引用:

【影子110的贴子】这是不是那个杀软每次都指向IE的鸽子~？ 另，那个taskmam.exe 在IE运行后是不是自动结束自身运行了~？（在任务管理器或Icesword 中能看到它运行吗？) 这个文件（taskmam.exe ）是随机出现的，还是固定的~？ ...........................

这只鸽子通过修改IE内存存活。taskmam.exe只是系统启动时运行一下就结束。感染这只鸽子时，你开机后，先不要打开IE浏览器。这时，你打开IceSword，会发现一个iexplore.exe进程。

嗯~~~~
反正我也已经放心了,哈哈哈~~~    相信baohe大大的说法...

另外,在加密后的病毒体中发现hacker.com.cn的域名,刚刚上去拜访了一下,顺便下载了最新版本的灰鸽子,并且这次多了个心眼,用瑞星的在线扫描做了一次扫描....
意想不到的情况发生了:瑞星不是报Gpigeon系列的病毒,而是报Win32.Parite.a
至于这个Win32.Parite.a的特征,我摘录如下:



病毒分类  WINDOWS下的PE病毒    病毒名称  Win32.Parite.a
别    名    　                  病毒长度  456450字节 
危害程度                        传播途径    　
行为类型  DOS下的COM病毒        感    染    　
病毒发作                        瑞 星 版 本 号  13.32 

一个简单的Win32感染型病毒,被该病毒感染的PE被加入了一个节(存放病毒代码,病毒代码.本身被进行简单的加密--XOR).染毒PE的执行入口被修改为指向病毒解密代码,当该PE文件被执行后,将先执行病毒的流程然后再返回到源来宿主程序的代码.
病毒本身并没有太大的危害,但被感染的文件可能因为病毒的问题将无法正常的执行.


另:刚刚才有会员说了这个问题:所有被Win32.Parite.a感染的exe程序都无法正常运行了.

希望伪黑客,和正准备当伪黑客的同志们,好自为之了,嘿嘿  :D

引用:

【baohe的贴子】 这只鸽子通过修改IE内存存活。taskmam.exe只是系统启动时运行一下就结束。感染这只鸽子时，你开机后，先不要打开IE浏览器。这时，你打开IceSword，会发现一个iexplore.exe进程。 ...........................

用procguard是否能看到它的活动~~？
PG中的 警报 好像能记载所有的程序的活动，而且如果这个程序不在它的安全项中被允许，就无法运行~~
（是否可以在 安全 里找到 taskmam.exe 设为 总是拒绝，是否能阻止这只鸽子~）

你要的话我传一个病毒体给你?
嘿嘿

留下邮箱吧,影子110

这个没什么,并不是新鸽子