瑞星卡卡安全论坛

具体的分析方法请看:
http://forum.ikaka.com/topic.asp?board=28&artid=8159887

在此感谢baohe版主与提供样本的fsecure




瑞星报：Backdoor.Gpigeon.uql（最新版才会报。），卡巴斯基报：Backdoor.Win32.Hupigon.pv

木马行为:
运行后,新建:
%temp%\5i.dll  '%temp%为当前用户的临时文件夹
C:\WINDOWS\temp\5i.dll
C:\WINDOWS\uninstal.bat
C:\WINDOWS\regeidt.exe

感染成功后,删除uninstal.bat及源文件

使用5i.dll注入系统中所有的非系统程序.设置钩子类型为WM_GETMESSAGE,试图监视程序的任何消息.

没有注入IceSword与SSM.(可能有自知之明?IceSword禁止任何程序读写它的内存的....)

注入到的Iexplore.exe与explorer.exe试图底层读写硬盘.
任何程序启动都会被注入且设置钩子.

调用services.exe,注册服务:
(Autoruns报:)
+ 提供各驱动交换、适配    以 Windows 安装程序(*.msi)的软件包提供的应用程序。如果禁用了此服务，任何完全依赖它的        c:\windows\system32\regeidt.exe

但是也没禁用HJ.

O23 - Service: Windows Installe (提供各驱动交换、适配) - Unknown owner - C:\windows\system32\regeidt.exe

受感染系统会明显变慢.

清除方法:
将SSM设置为自动启动.
在SSM中,禁止C:\WINDOWS\temp\5i.dll与%temp%\5i.dll加载.
重启系统.
运行注册表编辑器.
展开:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
删除左边的:

            提供各驱动交换\适配

中文的,好找.呵呵

再次重启系统.清空临时文件夹,删除
C:\WINDOWS\temp\5i.dll
C:\WINDOWS\regeidt.exe

图片

点鼠标都点麻了

学习了...

谢谢您！非常感谢！！！但还是有问题，希望帮我解决.

有两点要和您说一下。
它的服务好像没有安装成功，我就是看到一个报错事件才注意到它的，而且我已经用软件把这个服务删除了。
不知您有没有注意到我在帖子里说的“每打开一个文件如winrar，它就会自动在C:\Documents and Settings\Administrator\Local Settings\Temp\1下创建新的tmp文件，将此tmp禁用的话，再打开另一程序它还会再创建一个同样大小的tmp文件”，我估计您是开了ssm后再运行软件的，我找了台机器也是这么测试的，用ssm一步步做可以干掉它，但当关掉ssm或完全允许安装完木马后，重启之后，我打开is它也会插入其进程－－这我是在ssm的模块列表里看到的，而ssm好像没有，现在我就是已经把产生的dll及exe文件禁用，当打开新的rar文件，ssm还是会报有jad1.tmp之类的文件要插入进程，而且名字是随机的4位，我把这文件禁用，下次打开另一rar文件它又会产生新的tmp文件，除非我把C:\Documents and Settings\Administrator\Local Settings\Temp\1目录整个禁用，它才不再会产生，但是只设管理员对它有权限，也无法删除软件的，一放开目录权限它又可以创建tmp文件。怀疑是交叉保护，但又找不到问题在哪，非常郁闷！


ps:本来是pm您的，结果提交后报错说过长，幸好我保存了一遍，不然白打那么多字 ：）

刚才上论坛才看见您pm我了，谢谢！！

忘记了上个图，说明：这个文件名是随机的，但都是4位的tmp文件。
现在那个5i.dll,regeidt.exe已经被禁用，tmp总是会跳出来。

附件: 7411502006831165252.png

WH_CALLWNDPROC??
监视消息循环的另一种方式

请用    工具Autoruns扫描日志上来.


Autoruns日志特别提醒：扫描日志前请先点击Option菜单——将Hide Microsoft Entries前面打上勾，再去保存日志。如果不这样做，日志会很长，浪费空间，我们也不好分析

可能还有别的副本之类的.

要不可能是另外一个木马.看来与这只鸽子不一样

闪电` 问下`在这%temp%\文件下的东西`貌似是IE的COOKIES吧？（希望没记错^O^) 那在这文件下的病毒`是中的网页木马吗?`

灰鸽子有时也会把文件释放到这里

我在测试时没有发现fsecure所说的TMP文件情况.

哦 懂了`谢谢你了`

【回复“fsecure”的帖子】
提取文件连接 http://pickup.mofile.com/0040017004434143
或登录Mofile，使用提取码 0040017004434143 提取文件

提取了这个文件。运行后，只通过ntvdm调用了一下conime就自动结束运行了。无文件创建，无写注册表动作。（运行样本时候Tiny的所有模块都已经disabled，只开SSM。）
我提取错了？
不解！！

附件: 1558472006831180838.jpg

baohe版主的文件不全.
这个病毒是有图标的..

我给一个吧

引用:

【闪电风暴的贴子】baohe版主的文件不全. ………………

我是按那位网友给的地址及提取码提取的

看不见猫斑的图``

刚好翻页``祝贺一下````

是，这个病毒的图标是cmd.exe一样的

晕，回贴的内容不能太长，我分开贴上来autoruns日志。

闪电兄，不好意思，这是我重新扫的autoruns日志。


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run           

+ NvCplDaemon    NVIDIA Display Properties Extension    NVIDIA Corporation    c:\winnt\system32\nvcpl.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ Desktop Explorer    NVIDIA Desktop Explorer, Version 110.26     NVIDIA Corporation    c:\winnt\system32\nvshell.dll

+ Desktop Explorer Menu    NVIDIA Desktop Explorer, Version 110.26     NVIDIA Corporation    c:\winnt\system32\nvshell.dll

+ Display Panning CPL Extension            File not found: deskpan.dll

+ HyperTerminal Icon Ext    HyperTerminal Applet Library    Hilgraeve, Inc.    c:\winnt\system32\hticons.dll

+ nView Desktop Context Menu    NVIDIA Desktop Explorer, Version 110.26     NVIDIA Corporation    c:\winnt\system32\nvshell.dll

+ WinRAR shell extension            c:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar           

+ FlashGet Bar    FlashGet IE Bar    Amaze Soft    c:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions           

+ &FlashGet    FlashGet    Amaze Soft    c:\program files\flashget\flashget.exe

HKLM\System\CurrentControlSet\Services           

+ nsms    Maintains network security configurations.  This service can not be stopped.        c:\winnt\system32\f.tmp

+ NVSvc    Provides system and desktop level support to the NVIDIA display driver    NVIDIA Corporation    c:\winnt\system32\nvsvc32.exe

HKLM\System\CurrentControlSet\Services           

+ d347bus    PnP BIOS Extension         c:\winnt\system32\drivers\d347bus.sys

+ d347prt    SCSI miniport         c:\winnt\system32\drivers\d347prt.sys

+ dlkfet    NDIS 5.0 miniport driver    Fast Ethernet PCI Adapter Manufacturer    c:\winnt\system32\drivers\dlkfet.sys

+ dmio    NT Disk Manager I/O Driver    VERITAS Software Corp.    c:\winnt\system32\drivers\dmio.sys

+ dmload    NT Disk Manager Startup Driver    VERITAS Software Corp.    c:\winnt\system32\drivers\dmload.sys

+ nv    NVIDIA Compatible Windows 2000 Miniport Driver, Version 84.20     NVIDIA Corporation    c:\winnt\system32\drivers\nv4_mini.sys

+ Ptilink    Direct Parallel Link Driver    Parallel Technologies, Inc.    c:\winnt\system32\drivers\ptilink.sys

+ rtl8139    NDIS 5.0 driver                                                                      Realtek Semiconductor Corporation                                                    c:\winnt\system32\drivers\rtl8139.sys

+ safemon    System Safety Monitor 2.0 extension for Windows security layer    System Safety Limited    c:\winnt\system32\drivers\safemon.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify           

+ System Safety Monitor    System Safety Winlogon Notification    System Safety Limited    c:\winnt\system32\ssmwinlogonex.dll

HKCU\Control Panel\Desktop\Scrnsave.exe           

+ (无)            File not found: (无)

贴错日志，请版主删了这个回复，我只能清除，以免影响帖容 ：）

Autoruns日志特别提醒：扫描日志前请先点击Option菜单——将Hide Microsoft Entries前面打上勾，再去保存日志。如果不这样做，日志会很长，浪费空间，我们也不好分析

请版主删了这个回复，谢谢！！！

请版主删了这个回复，谢谢！！！

再次谢谢各位的关注和帮助！！

辛苦各位了！
闪电兄，我编辑帖子了，贴了正确的日志。


关于tmp，应该是同一个马，当放开tmp文件时，那个5i.dll regeidt.exe 就不能删除了，当我把 1的整个目录禁用时，就可以删除这两文件了。

貌似现在问题是怎么解决tmp的问题，头大，不知问题在哪？

运行了一下这个东西~
下面是SSM和PG看到的东西~



允许它后,好梦就开始了~
PG监控到它试图安装全局钩子和服务~



但此时SSM并没有看到什么~只提示~



允许~(同时模块报警~)







这个服务被我用SSM禁止

然后,就看见所有的正在运行的程序都试图创建全局钩子~而且是不间断的一直到你允许,否则,运行的速度就像爬的一样~(除了SSM和ICEWORD没动~)

闪电~这个钩子只是用来记录键盘操作的吗?
另,为什么运行正常程序的时候,也总是会创建全局钩子呢,(是因为它对Explorer做了手脚吗?)

引用:

【影子110的贴子】运行了一下这个东西~ 闪电~这个钩子只是用来记录键盘操作的吗? 另,为什么运行正常程序的时候,也总是会创建全局钩子呢,(是因为它对Explorer做了手脚吗?) ………………

这只鸽子“一根儿筋”——它一定要插入你运行的进程中。你开一个进程，它插一个。你不让插？那好！你就什么也别干了！等着吧。

怎么你机器运行以后的情况和我不同啊，那个服务项好像并没有安装成功吧？从“服务”进去看其属性，弹出一个“服务器配置内部错误”（好像是这么说的，记不太清了），而且其属性中也是停止的－－貌似没有运行成功吧？
其二是当禁止其5i.dll及regeidt.exe后，在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中，忘记了，没把当时在已经创建进程里插入的tmp文件截图下来。

不知大家是怎么测试的，有条件可以不开ssm的情况下安装后重启再打开ssm观察清除，应该就会出现我这种状况。（重启后原当前用户的temp里的５i.dll删除，而系统temp目录下的仍有并被插入）

引用:

【fsecure的贴子】怎么你机器运行以后的情况和我不同啊，那个服务项好像并没有安装成功吧？从“服务”进去看其属性，弹出一个“服务器配置内部错误”（好像是这么说的，记不太清了），而且其属性中也是停止的－－貌似没有运行成功吧？ 其二是当禁止其5i.dll及regeidt.exe后，在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中，忘记了，没把当时在已经创建进程里插入的tmp文件截图下来。 不知大家是怎么测试的，有条件可以不开ssm的情况下安装后重启再打开ssm观察清除，应该就会出现我这种状况。（重启后原当前用户的temp里的５i.dll删除，而系统temp目录下的仍有并被插入） ………………

你就别用SSM跟它较劲啦！
在安全模式下收拾它。

可是我服务项已经用微软工具移除，winnt\temp\5i.dll,winnt\system32\regeidt.exe 已经清除了，现在就是一打开一个软件就会插入C:\Documents and Settings\administrator\Local Settings\Temp\1\xxxx.tmp大小为172k的一个文件。
实在是晕～