breach - 2006-8-29 16:57:00
最近得到两只鸽子,便想烧烤之,一是为了品尝鸽子肉的味道,二是为了验收Tiny跟SSM这两款烧烤工具的成色。
总的来说,有点可惜,因为我得到的这两只鸽子味道并不很佳,可能我得到的都是作者丢弃的。一只它的隐藏做得相当不好,根本就不隐藏进程(用系统自带的任务管理器都可以看),只是在%SystemRoot%下释放G_Server2006.exe、G_Server2006.DLL、G_Server2006Key.DLL三个文件,并且在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下生成一个GrayPigeonServer服务项;不过另外一只就有点技术含量了:隐藏进程,只有IceSWord可以看到隐藏进程,连SSM都看不到(那就更不用说系统自带的任务管理器或超级兔子的超级兔子任务管理器SRTask),服务项也很能迷惑人的眼睛,最不错的就是它只生成一个服务端文件--G_Server2.03.exe,其他的Dll文件都没有。两个鸽子都会在感染的计算机,都要对一个192.168.10.217这个IP发出了SYN_SENT同步请求。具体情况如下面:
breach - 2006-8-29 16:59:00
首先介绍比较差劲的鸽子的情况:
鸽子安装服务项
附件:
7317492006829165116.bmp
breach - 2006-8-29 17:01:00
接着鸽子启动IEXPLORE.EXE进程做了一些小动作(本文只说重点)
附件:
7317492006829165334.bmp
breach - 2006-8-29 17:03:00
然后在在%SystemRoot%下释放G_Server2006.exe、G_Server2006.DLL、G_Server2006Key.DLL三个文件,还停止了GrayPigeonServer服务
附件:
7317492006829165532.bmp
breach - 2006-8-29 17:09:00
这个时候任务管理器可以看到IE进程,虽然我当前没有运行IE,但是却有个IE进程,在任务栏也看不到IE窗口.用SSM可以查看到IE进程被插入鸽子的dll文件,并且这个时候都要对一个192.168.10.217这个IP发出了SYN_SENT同步请求。
附件:
7317492006829170136.bmp
breach - 2006-8-29 17:12:00
重新启动系统后,由于GrayPigeonServer服务项是设置成自动的,所以GrayPigeonServer服务会起用%SystemRoot%下的G_Server2006.exe,从而又启动IE进程
附件:
7317492006829170411.bmp
breach - 2006-8-29 17:18:00
鸽子二(比较美味的一只)的情况:
同样首先安装服务项,不过这个服务项很能迷惑人的眼睛.
附件:
7317492006829171011.bmp
baohe - 2006-8-29 17:23:00
【回复“breach”的帖子】
G_Server2.03.exe在某些方面尚不及灰鸽子2005。手工查杀比2005容易。
breach - 2006-8-29 17:23:00
breach - 2006-8-29 17:31:00
接着G_Server2.03.exe启动cmd.exe及IE进程,并且调用cmd.exe删除自己
附件:
7317492006829172302.bmp
瑟瑟异议 - 2006-8-29 17:31:00
我的鸽子在系统里显示为卡巴斯基杀毒软件。。
瑟瑟异议 - 2006-8-29 17:31:00
我的鸽子在系统里显示为卡巴斯基杀毒软件。。
breach - 2006-8-29 17:38:00
这个时候就有点有趣了,在超级兔子管理器、超级兔子管理器看不到鸽子调用的IE这个进程,甚至SSM看不到IE这个进程,不过还好IceSword却可以看到这个隐藏进程,并且是用红色标志的。
附件:
7317492006829173039.bmp
炫Oo逍遥oO - 2006-8-29 17:43:00
不错 学习了`
breach - 2006-8-29 17:44:00
这个鸽子只生成一个服务端文件--G_Server2.03.exe,其他的Dll文件都没有。我查下壳,是用UPX加壳的。
附件:
7317492006829173700.bmp
breach - 2006-8-29 17:55:00
手动清除方法:对于第一只鸽子,事先把那个被非法启动的IE进程结束掉,再要把%SystemRoot%释放的G_Server2006.exe、G_Server2006.DLL、G_Server2006Key.DLL三个文件删除掉,并到注册表删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下生成一个GrayPigeonServer服务项重新启动系统即可。对于第二只鸽子的清除方法跟第一只鸽子差不多,只要把%SystemRoot%释放的G_Server2.03.exe删除掉,再到注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除掉Windows Instalyege重新启动系统即可。不过我可以告诉你一个比较偷懒的方法,请看下图:
附件:
7317492006829174728.bmp
dady欢欢 - 2006-8-29 18:07:00
学习了,那个查壳的工具很不错,呵呵,建议瑞星也附带一个查壳的功能
baohe - 2006-8-29 18:08:00
如果说“味道鲜美”,那要算这只鸽子(耐心看完下面的动画)
附件:
1558472006829180008.gif
dady欢欢 - 2006-8-29 18:10:00
鸽子好象越来越强了
刚刚那个查壳工具很不错,建议瑞星也弄个查壳的工具
breach - 2006-8-29 18:13:00
不同版本的鸽子大小可能差别很大噢。我的第二只鸽子,我开始就有点奇怪了,鸽子都吃完了,却还是只有一个文件,可能加壳了,并且它也把以前鸽子版本的那些Dll文件的代码功能都全部写在一起。
附件:
7317492006829180555.bmp
breach - 2006-8-29 18:35:00
| 引用: |
【baohe的贴子】如果说“味道鲜美”,那要算这只鸽子(耐心看完下面的动画)
……………… |
恩恩。的确比我的美味多了。不过我有几个问题想请教猫叔您:为什么鸽子只选择IE这个进程作为跳板,而不选择explorer.exe或其他的进程,是不是IE这个进程方便鸽子行事?还有鸽子选择IE这个进程到底是用来做什么的?
baohe - 2006-8-29 18:45:00
| 引用: |
【breach的贴子】
恩恩。的确比我的美味多了。不过我有几个问题想请教猫叔您:为什么鸽子只选择IE这个进程作为跳板,而不选择explorer.exe或其他的进程,是不是IE这个进程方便鸽子行事?还有鸽子选择IE这个进程到底是用来做什么的?
……………… |
1、用IE做跳板,这是鸽子的一贯做法。迄今为止,没有多大改变。
2、上网,谁不用IE?像我这样迷恋OPERA的人毕竟是少数。大多数人还是用IE。
3、至于说插进程,不同版本的鸽子不同。我那个动画显示的是一只比较变态的灰鸽子。管它是系统进程,还是应用程序进程——一律插!
闪电风暴 - 2006-8-29 18:53:00
学习
闪电风暴 - 2006-8-29 18:55:00
如果鸽子掌握不好,在插入有些系统进程(如SMSS.exe)时会崩溃重启
breach - 2006-8-29 19:50:00
我遇到的都是不美味的鸽子,谁能给我一只美味点的鸽子呢?谢谢。
© 2000 - 2026 Rising Corp. Ltd.