瑞星卡卡安全论坛

与小聪同时测试一只从QQ群拿到的样本..
C:\WINDOWS\system32\shellext\services.exe 
第一次测试是此鸽子轻松杀除..(并没发现异常)..小聪测试发现一个异常点..
删除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]对应的项后..
去[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services] 会有一个和[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]一模一样的systemLog ..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]没有此项...

我第一次测试并没删除[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services] 的项..
我再次进入虚拟机查看注册表的项..并没有发现systemLog ...

于是进行第二次测试..图如下..
运行此鸽子..
SSM监控到的..

附件: 63239820067871111.JPG

图2


附件: 63239820067871218.jpg

图3


附件: 63239820067871234.JPG

图4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]


附件: 63239820067872246.JPG

图5
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]

附件: 63239820067872312.JPG

其实这只鸽子我也觉得奇怪了...
为什么感染后...会创建俩个服务相关项...
还有按照普通的杀法就能杀掉..
先删除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]的systemLog 
然后重启..打开注册表[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services] 依然有systemLog  ..
我不管这注册表..然后我删除C:\WINDOWS\system32\shellext\services.exe 
重启 ..再此打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services] 发现systemLog 自己变没了...
HijackThis和SREng 扫描也没发现鸽子了...

无法解释...纳闷...
深呼吸...睡觉....

再帖张图...


附件: 63239820067873038.JPG

最后一张图不解.

收藏
M，你昨天晚上真的没睡觉呀？佩服

少发了一张图...
我汗 补上...


附件: 632398200678151823.JPG

我睡到一点多才起的。以前的确在别的论坛有听说过某些灰鸽子创建两个服务项，但删掉了一个之后重启另一个就没了，不太清楚这是什么原因。这次是因为SSM之前的日志记录下来的服务项创建和我重启之后发现的不同，所以才比较诧异。

我郁闷的倒是为什么把那文件删了...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
自己不见了...

还有SSM完全没有监控到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
创建服务项....