baohe - 2006-10-28 15:33:00
这是一只新的“灰鸽子”。卡巴斯基今天的病毒库不报毒。
来源:网上见到一个帖子问:www.hahax.com是不是病毒。下载这个www.hahax.com文件,断网状态下运行之,除了加载几个系统dll外,无其它行为。
连接网络运行这个www.hahax.com,它访问61.66.28.112,下载一个win.exe文件。
win.exe自动运行,将nvsvc33.exe、nvsvc33.dll、nvsvc33Key.dll释放到windows目录,将pcr825v.dll释放到当前用户临时文件夹中。注册系统服务Alerter Server(指向C:\windows\nvsvc33.exe);HijackThis、autoruns以及Sreng日志中可以看到这个服务项。
win.exe运行后自动删除自身。
查杀流程:
1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,删除左栏中的Alerter Server。
2、重启系统,显示隐藏文件。
3、删除木马文件(图)。
注意:
这只鸽子的文件隐蔽性较好。
未删除其服务项并重启系统之前,即使你显示隐藏文件,用WINDOWS的资源管理器也找不到鸽子的文件。但用IceSword或WINRAR可以找到。
附件:
15584720061028152533.jpg
红夜鬼1 - 2006-10-28 15:41:00
学一下
scriptman - 2006-10-28 15:42:00
不仔细看,还以为是nvsvc32
猪知山 - 2006-10-28 15:50:00
学习
高歌猛进 - 2006-10-28 15:58:00
谢了啊
deadmanzj - 2006-10-28 16:06:00
xctraveller - 2006-10-28 16:35:00
好极了
进来学习学习!
westbeck - 2006-10-28 16:41:00
恩,好的
特伊洛木马 - 2006-10-28 17:01:00
拿走了
水树雨下 - 2006-10-28 18:10:00
学习了!
闪电风暴 - 2006-10-28 18:20:00
学习下>kxzhmc500@sina.com
baohe - 2006-10-28 19:40:00
| 引用: |
【闪电风暴的贴子】学习下>kxzhmc500@sina.com
……………… |
样本已经发送
yizi - 2006-10-28 21:18:00
nvsvc32
nvsvc33~~~
病毒越来越狡诈~~
学习了~~
秋日里的蓝天 - 2006-10-28 22:28:00
请猫叔给我发个样本
ufwihgu9168@yahoo.com.cn
加密:9168
mopery - 2006-10-28 23:25:00
| 引用: |
【秋日里的蓝天的贴子】请猫叔给我发个样本
ufwihgu9168@yahoo.com.cn
加密:9168
……………… |
已发..
无限001 - 2006-10-28 23:43:00
关注
秋日里的蓝天 - 2006-10-29 9:55:00
多谢猫叔 mopery版主,已收到
怕病毒! - 2006-10-29 10:04:00
怎么大家都喜欢样本呢 中了病毒就不好玩耶
呵呵 鸽子是盗密码的吗 猫叔
秋日里的蓝天 - 2006-10-29 10:54:00
我测试逃了SRENG,还是新版本
服务
[Human Interface Device Access / HidServ]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[FW Event Manager / UmxAgent]
<"D:\Program Files\Tiny Firewall Pro\UmxAgent.exe"><Computer Associates International, Inc.>
[FW Configuration Interpreter / UmxCfg]
<"C:\Program Files\Common Files\PFShared\UmxCfg.exe"><Computer Associates International, Inc.>
[FW User-Mode Helper / UmxFwHlp]
<"D:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe"><Computer Associates International, Inc.>
[FW Live Update / UmxLU]
<"C:\Program Files\Common Files\PFShared\umxlu.exe"><Computer Associates International, Inc.>
[FW Policy Manager / UmxPol]
<"C:\Program Files\Common Files\PFShared\UmxPol.exe"><Computer Associates International, Inc.>
[VMware Authorization Service / VMAuthdService]
<G:\Program Files\VMware\VMware Workstation\vmware-authd.exe><VMware, Inc.>
[VMware DHCP Service / VMnetDHCP]
<C:\WINDOWS\system32\vmnetdhcp.exe><VMware, Inc.>
[VMware Virtual Mount Manager Extended / vmount2]
<"C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe"><VMware, Inc.>
[VMware NAT Service / VMware NAT Service]
<C:\WINDOWS\system32\vmnat.exe><VMware, Inc.>
[TrueVector Internet Monitor / vsmon]
<C:\WINDOWS\system32\ZONELABS\vsmon.exe -service><Zone Labs, LLC>
HIJACKTHIS可以扫描出来
O23 - Service: Alerter Server - Unknown owner - C:\WINDOWS\nvsvc33.exe
O23 - Service: FW Event Manager (UmxAgent) - Computer Associates International, Inc. - D:\Program Files\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Computer Associates International, Inc. - C:\Program Files\Common Files\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Computer Associates International, Inc. - D:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe
O23 - Service: FW Live Update (UmxLU) - Computer Associates International, Inc. - C:\Program Files\Common Files\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Computer Associates International, Inc. - C:\Program Files\Common Files\PFShared\UmxPol.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - G:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
用IceSword监视进线程创建,可以看到nvsvc33.exe
寒
didididi - 2006-10-29 13:08:00
学一下
轩辕小聪 - 2006-10-29 15:02:00
【回复“秋日里的蓝天”的帖子】
如果你运行样本没有重启就扫日志,那么得出这样的结果是意料之中。
SREng日志扫描服务项,可能是枚举方式的问题,新添加的修改只能在下次开机后才能被SREng扫描到。而HijackThis和autoruns则没有这个限制,所以它们更加“实时”。关于这个问题,SREng的作者smallfrogs说暂时难以改进。
当然,对于真正的中毒者而不是我们这些测毒者来说,这个问题基本不成其为问题。
影子110 - 2006-10-29 15:52:00
学了~~~
安全防卫 - 2006-10-30 10:28:00
猫大哥的贴子真实用.
wike - 2006-10-30 15:32:00
还真是学到不少东西
lansely - 2006-10-30 17:20:00
还好有服务可以看到 寒 越来越BT
仙剑VS景天 - 2006-10-30 19:18:00
| 引用: |
【黑枫的贴子】nvsvc32.exe是不是毒啊.
……………… |
不是毒
- 2006-10-30 19:22:00
.......
© 2000 - 2026 Rising Corp. Ltd.
