瑞星卡卡安全论坛

【样本来源】：“轩辕小聪”提供。
【使用的工具】：SSM 2.0.5.565（现在有更高的版本）；IceSword 1.10。
【查杀流程】：

1、在SSM的“规则”面板中添加三条规则（见图1）。

2、将SSM设置为启动加载（见图2）。

3、重启系统。

4、用IceSword找到并删除下列文件：
C:\WINDOWS\svchoot.exe
C:\WINDOWS\svchoot.dll
C:\WINDOWS\svchootKey.dll
C:\WINDOWS\svcpack.log


5、清理注册表：

（1）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Windows Instaler（指向：C:\WINDOWS\svchoot.exe）
（2）展开：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除：Windows Instaler（指向：C:\WINDOWS\svchoot.exe）

【评论】：鸽子的作者真是“处心积虑”！想尽一切办法躲避查杀。这个鸽子，目前（2006年4月24日）卡巴的标准病毒库还不报。HijackThis、autoruns等工具也扫不到其服务项，这点是新版鸽子比“灰鸽子2005VIP”NB的地方。
但它还是没逃过IceSword和SSM。
我们等待鸽子的作者再出新花样。

【小结】：这类“鸽子”，虽然隐蔽，但还是可以用IceSword或SSM这样的工具找到手工查杀的切入点。
IceSword：可以发现异常的IE进程（没开IE而可以看到iexplore.exe）
SSM：鸽子运行后，SSM报警N次。多是提示IE企图改写内存的内容。
据此，可以通过IceSword查看iexplore.exe模块。进而发现鸽子的dll及其路径。
再用IceSword查找鸽子的.exe文件。
至此，已经锁定手工查杀目标。接下来要做的，就是本帖叙述的“查杀流程”。
以上是查杀这类鸽子及其它隐蔽性较高木马的基本思路。

图1

附件: 1558472006424160331.jpg

图2

附件: 1558472006424160404.jpg

我想看看这只鸽子，能否请baohe版主将病毒文件打包发送到我的邮箱 adzhujun@gmail.com 为了防止被邮箱杀软拦截，请加密码 virus ,非常感谢！

SSM监控日志（第一部分）：

附件: 1558472006424164542.jpg

SSM监控日志（第二部分）：

附件: 1558472006424164623.jpg

引用:

【破轮子的贴子】我想看看这只鸽子，能否请baohe版主将病毒文件打包发送到我的邮箱 adzhujun@gmail.com 为了防止被邮箱杀软拦截，请加密码 virus ,非常感谢！ ...........................

样本已经发送到adzhujun@gmail.com

【回复“baohe”的帖子】
IceSword 能查杀这个灰鸽子嘛?

我的ssm到期了，请问版主ssm在哪下的？给个地址吧。谢谢

引用:

【M4AI的贴子】【回复“baohe”的帖子】 IceSword 能查杀这个灰鸽子嘛? ...........................

IceSword是个工具软件，不是杀毒软件。
你不能指望IceSword自动将这个鸽子杀死。要用IceSword杀鸽子，还需要你的手和脑。

引用:

【一簔烟雨的贴子】我的ssm到期了，请问版主ssm在哪下的？给个地址吧。谢谢 ...........................

去SSM的官方网站下载最新版本。可以用到今年7月份。

引用:

【baohe的贴子】 去SSM的官方网站下载最新版本。可以用到今年7月份。 ...........................

啊??7月?我下了个,升级方式安装,安装了还是提示10后到期.请问斑竹GG得是要全部谢载了后再安装呀?

谢谢

最近新鸽子应该会漫天飞..还请baohe斑竹密切关注..好让偶等新手不至于重装.

真是层出不穷啊

引用:

【不喜欢雨天的贴子】 啊??7月?我下了个,升级方式安装,安装了还是提示10后到期.请问斑竹GG得是要全部谢载了后再安装呀? 谢谢 ...........................

卸载旧的。安装新的。

哦`~~明白拉,谢谢斑竹GG.

此病毒最大的特点是注入了非常多的进程,尤其是注入了%systemroot%\system32\winlogon.exe进程.
中毒的会员的日志在http://forum.ikaka.com/topic.asp?board=28&artid=7988649,大家有兴趣可以去看一下.

我之所以一发现这个灰鸽子就报告了版主,是因为看到日志中有这么一项:
[PID: 188][\??\C:\WINNT\system32\winlogon.exe] <Microsoft Corporation><5.00.2195.6997>
[C:\WINNT\svchootKey.DLL] <N/A><N/A>

如果只用icesword还是无法搞定,因为即使是icesword也不能结束%systemroot%\system32\winlogon.exe进程,否则系统即刻崩溃.因此必须用SSM禁止病毒开机加载,才能用icesword干掉它.

注册一个灰鸽子还瞒贵的了,不做好点怎么招揽无聊的入侵者

附件: 4670772006424191315.JPG

引用:

【greenfrog的贴子】注册一个灰鸽子还瞒贵的了,不做好点怎么招揽无聊的入侵者 ...........................

这种东西也值100－150？
打劫啊？！

真郁闷！又得小心了～～！

baohe大叔就是厉害，拿到样本后不到两个小时就搞定了。

幸亏那位会员来求助，没有一股脑就重装机子，否则就错过了这次找到解决办法的机会。也幸亏小聪在热心回帖，否则也发现不了这个新版鸽子。

呵呵！小聪，咱昨晚就感觉到了可能新版鸽子的查杀很有可能就从那个帖子找到突破口，事情果然如意料之中。

版主可以把这个鸽子样本也发一个给我吗~~想试下~

xue_mai_qi@163.com

其实也是一只老鸽子
可恨的是插入了不可结束之系统进程

顶楼主,学习.

up

嘿嘿
想不到我讨厌重装系统还是有点好处的嘛

我原是一名学生，现在是一家设计公司的设计师，可我的每月额外收入却有1000多元，并且正以每月递增，而我的工作只是每天上上网，发发帖子。也许你不相信，刚开始我的心情跟大多数人一样，看见我的同学加而不为心动，继续打我的网络游戏打发课余时间，直到我同学第一次收到公司汇来的人民币时，我才相信了这一切。
    这家公司的工资制度与众不同，通过我的努力，我做了半年多，工资就超过了我的几个同学。若是你现在正苦于找不到发财之路或是想找一份兼职，赶快加入吧，适合对象：在校大学生、办公室职员、网吧工作者、自由职业者、下岗待业人员等。
详情请登陆网站：http://feng59095.9soho.com
热线联系QQ：39846770
注：注册的临时代理一定加QQ联系

哈哈~今年还会是“灰鸽子”泛滥的时候啊！
多多关注大虾们的言论！

引用:

【baohe的贴子】 去SSM的官方网站下载最新版本。可以用到今年7月份。 ...........................

看来是真的没测试版了

顶~!

baohe斑竹能把病毒样本给我一份吗？压缩打包发到zhangjun_0812@yahoo.com.cn，密码为virus.