瑞星卡卡安全论坛

鸽子样本来源：【http://pickup.mofile.com/0040017004434143 ；提取码 0040017004434143 】
【注】这个网络硬盘提取的木马文件有可能有问题（不全）。感谢“闪电风暴”将完整样本提供给我。

这只鸽子的特点是“跟踪式DLL注入”。即：你运行什么程序，它就试图将那个5i.dll注入那个你要运行的程序。你不让它注入？那你就瞧好儿吧！
这样的鸽子，不适合用SSM禁止其dll（本例是5i.dll）运行。
第一次观察这只鸽子，我就吃了这个亏。用SSM禁止5i.dll运行后，系统就像死掉一样，慢得让人抓狂！关闭或打开一个程序，你可以先睡一觉儿去。回来再看看——那个程序也未必就关闭/打开了。那个5i.dll就像“狗皮膏药”一样——粘上你的系统了。
这只鸽子得弱点在于——没有解决“安全模式”下的启动加载问题。
对付它，你只要在普通WINDOWS模式下将其服务项删除，然后，重启到安全模式下，删除其文件（见附图），就轻易搞掂了。
可能有人会问：你在普通WINDOWS模式下删除它的启动项时，不是也得用工具吗？
那个5i.dll不是也要插入你所用的工具进程中吗？
没错！它是要插工具进程的。让它插好了。即使工具进程被插了，也一样能将鸽子的服务项删除。

附件: 1558472006831210853.jpg

学习了...
现在的鸽子多种多样...
“狗皮膏药”猫叔这个比喻用得好

刚刚运行了一下~
现在这个还在系统里~
想问一下~它可能造成的危胁是什么?偷东西??
在它运行时,能解决它吗?

我没有让它的服务运行~~
只是允许安装钩子~~

学习ing```猫``

引用:

【影子110的贴子】刚刚运行了一下~ 现在这个还在系统里~ 想问一下~它可能造成的危胁是什么?偷东西?? 在它运行时,能解决它吗? ………………

这是一只“死脑筋”的鸽子。你不让它插进程，它不干！
让它插！
在安全模式下收拾它。
【这鸽子的作者也是“死脑筋”！这么执着——太容易暴露身份。】

怎么你机器运行以后的情况和我不同啊，那个服务项好像并没有安装成功吧？从“服务”进去看其属性，弹出一个“服务器配置内部错误”（好像是这么说的，记不太清了），而且其属性中也是停止的－－貌似没有运行成功吧？
其二是当禁止其5i.dll及regeidt.exe后，在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中，忘记了，没把当时在已经创建进程里插入的tmp文件截图下来。

不知大家是怎么测试的，有条件可以不开ssm的情况下安装后重启再打开ssm观察清除，应该就会出现我这种状况。（重启后原当前用户的temp里的５i.dll删除，而系统temp目录下的仍有并被插入）


不好意思，这是我在闪电帖子里回的，在这又回了一遍，只是想让大家多看看，不拦截它安装后是如何的情形。

引用:

【fsecure的贴子】怎么你机器运行以后的情况和我不同啊，那个服务项好像并没有安装成功吧？从“服务”进去看其属性，弹出一个“服务器配置内部错误”（好像是这么说的，记不太清了），而且其属性中也是停止的－－貌似没有运行成功吧？ 其二是当禁止其5i.dll及regeidt.exe后，在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中，忘记了，没把当时在已经创建进程里插入的tmp文件截图下来。 不知大家是怎么测试的，有条件可以不开ssm的情况下安装后重启再打开ssm观察清除，应该就会出现我这种状况。（重启后原当前用户的temp里的５i.dll删除，而系统temp目录下的仍有并被插入） 不好意思，这是我在闪电帖子里回的，在这又回了一遍，只是想让大家多看看，不拦截它安装后是如何的情形。 ………………

完全按照你的意思，重新将鸽子种在系统中。
看好啊——服务装上了，没问题。

附件: 1558472006831221228.jpg

重启系统后：
它一定要插卡巴斯基。
Tiny不让插，就只能这么僵持着。想结束卡巴斯基进程都不行！什么都不能干！
这“一根儿筋”厉害吧！

附件: 1558472006831221433.jpg

关闭Tiny的所有模块，让它插吧。
然后，该轮到我动手了：
1、删除鸽子的服务项。
2、重启到安全模式下。
3、痛宰！

附件: 1558472006831221549.jpg

刚才试了下不进入安全模式,只在正常模式中~
用PG禁止源程序加载服务,创建钩子,禁止它运行~(怕它会再反复~把它的后路给绝了~)
进入注册表,查找5i.dll 的注册项~删(我找到两项~)
打开ICESWORD
设置 禁止进程创建~
找到Explorer.exe  显示 模块信息 找到5i.dll 卸除
在临时文件夹里找到5i.dll 删
(因为我没有让它安装服务~~,~~)
所以只是针对这个钩子~
恢复进程创建~
再看看怎么样~~~

都是高手分析哈........

幸好那个5i.dll没插入系统关键进程，如:winlogon.exe smss.exe lsass.exe等，不然就好玩了

baohe版主 要是这样的话，想到解决方法没？

引用:

【Enao2005的贴子】幸好那个5i.dll没插入系统关键进程，如:winlogon.exe smss.exe lsass.exe等，不然就好玩了 baohe版主 要是这样的话，想到解决方法没？ ………………

关键是“注册表监控”和“安全模式”下加载。如果这只鸽子监控注册表（你删除其服务项，关闭系统前它在将其添加上），并且能在安全模式下加载运行，那就真的不太好对付了。

鸽子也开始耍流氓............
一切向流氓靠拢
流氓是正道...........

运行了一下,让它的服务也加载~
发现它完全运行好后,C:\WINDOWS\uninstal.bat和它的源文件都找不到了~
退出SSM,打开IECWORD,

卸除EXPLORER.EXE中的两个5i.dll,删除这俩个DLL文件
删除那个伪装成注册表名的文件
删除它的服务~

另,它好像还对IE作了一些修改~

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

cache 值

cookies

history

再次学习...

引用:

【baohe的贴子】 关键是“注册表监控”和“安全模式”下加载。如果这只鸽子监控注册表（你删除其服务项，关闭系统前它在将其添加上），并且能在安全模式下加载运行，那就真的不太好对付了。 ………………

估计离这天也不远了~~
能想到,就有人能做到~~
唉~~

你们怎么说的像强奸一样啊，总是插不插的~~~
这灰鸽子真是讨厌~

学习ＩＮＧ＾＾

学习收藏了

傻蛋鸽子，换汤不换药，杀！

我的电脑也中了灰鸽子了,
用瑞星怎么都杀不掉,
帮我看下应该怎么杀?

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      14:40:31, 日期 2006-9-1
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Unable to get Internet Explorer version!

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE

O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_8917.dll (file missing)
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper200685_8917.dll (file missing)
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O4 - 启动项HKLM\\Run: [RavTask] ; "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BitComet] "F:\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - F:\迅雷5\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\迅雷5\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll
O23 - NT 服务: Database information combine (DbooInfo) - 易易加速科技有限公司 - C:\WINDOWS\dbmsinfo.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: system  (system guest) - Unknown owner - C:\WINDOWS\system.exe (file missing)

救救我吧!!!!
快被那个灰鸽子搞疯了!!!!!!!

只懂插不懂拔可不行啊~!

插来插去的！听不懂！都怪我是小小鸟！

引用:

【刀刀笨贼的贴子】鸽子也开始耍流氓............ 一切向流氓靠拢 流氓是正道........... ………………

经典`

引用:

【yifan335391的贴子】你们怎么说的像强奸一样啊，总是插不插的~~~ 这灰鸽子真是讨厌~ ………………

【回复“丁丁DPY”的帖子】O23 - NT 服务: system (system guest) - Unknown owner - C:\WINDOWS\system.exe (file missing)
修复就完了`

另外`问下`要是不让他插入进程会怎么样?`是不是系统会变的奇慢?```

学习