gdisvc.jpg及其查杀 bbs.ikaka.com

baohe - 2008-3-24 16:31:00

此毒貌似是利用系统某漏洞的DD（MD5见图1）。全补丁系统不会中招。将gdisvc的后缀.jpg改为.exe才能运行。

释放的病毒文件见图2。

瑞星20.37不报毒。

借助IceSword的手工杀毒流程：
1、禁止进程创建。结束病毒进程：
C:\Program Files\Common Files\system\ntserv.exe
C:\Program Files\Common Files\Miceosoft Shared\VGX\services.exe
2、删除病毒文件（图2）
3、清理注册表
（1）展开：HKLM\System\CurrentControlSet\Services
删除：Print Service（指向c:\windows\system32\honey\honeymain.exe）
（2）展开：HKLM\System\CurrentControlSet\Services
删除：HideFile（指向c:\windows\system32\honey\honeysys.dat）

图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件: 1558472008324161918.jpg

baohe - 2008-3-24 16:32:00

图2：应删除的病毒文件

附件: 1558472008324162000.jpg

两个铁球 - 2008-3-24 16:53:00

在哪搞的样本？

另外求教：SCManager是个什么服务？我用“搜索”搜WINDOWS xp系统里没有搜到，却见几乎所有的病毒运行都要打开这个服务，如打不开，大多歇菜。

（找个图示例）：

附件: 6521242008324164437.jpg

baohe - 2008-3-24 17:31:00

引用:

【两个铁球的贴子】在哪搞的样本？

另外求教：SCManager是个什么服务？我用“搜索”搜WINDOWS xp系统里没有搜到，却见几乎所有的病毒运行都要打开这个服务，如打不开，大多歇菜。

（找个图示例）：
………………

http://topic.csdn.net/t/20040607/09/3069358.html
自己看吧。
我不懂。

两个铁球 - 2008-3-24 17:39:00

引用:

【baohe的贴子】
http://topic.csdn.net/t/20040607/09/3069358.html
自己看吧。
我不懂。
………………

谢了！！！！！！！！！！！！！
正在看，确实是我要的解答。不愧是斑竹，办法多！

神龙飞天 - 2008-3-24 17:48:00

瑞星20.37.01对它有查杀作用吗？

baohe - 2008-3-24 17:53:00

引用:

【神龙飞天的贴子】瑞星20.37.01对它有查杀作用吗？
………………

依然不报。
样本已经交给麦青儿

闪电风暴 - 2008-3-24 22:10:00

帮发个:kxsystem@163.com

sako - 2008-3-25 6:42:00

vista下估计没用

spiritfire - 2008-3-25 6:43:00

学习完毕！

sako - 2008-3-25 6:45:00

猫叔给个样本
对了,如果版家那是的话就算了,直接去那里了

闪电风暴 - 2008-3-25 21:29:00

这个木马应该是个下载器,运行后,会下载多种木马.

闪电风暴 - 2008-3-25 21:30:00

开启iexplore.exe后,从KsSuperSword的LOG中可以看出IE进程被严重修改:

KsSafetyCenter's SuperScan Log

可疑分数246 文件名: C:\Program Files\Internet Explorer\IEXPLORE.EXE

虚拟内存地址可疑分数点特征描述

0x00404438 0x0000001E 特征API调用 => CALL AdjustTokenPrivileges
0x00404440 0x0000001E 特征API调用 => CALL AdjustTokenPrivileges
0x004044F0 0x00000005 特征API调用 => CALL DeleteFileA
0x004045A0 0x00000002 特征API调用 => CALL GetProcAddress
0x004046A8 0x00000005 特征API调用 => CALL WriteProcessMemory
0x0040525B 0x00000005 特征API跳转 => JMP DeleteFileA
0x0040534E 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405363 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405880 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405892 0x00000002 特征API跳转 => JMP GetProcAddress
0x004058A4 0x00000002 特征API跳转 => JMP GetProcAddress
0x004058B6 0x00000002 特征API跳转 => JMP GetProcAddress
0x004058C8 0x00000002 特征API跳转 => JMP GetProcAddress
0x004058DA 0x00000002 特征API跳转 => JMP GetProcAddress
0x004058EC 0x00000002 特征API跳转 => JMP GetProcAddress
0x004058FE 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405910 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405922 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405934 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405946 0x00000002 特征API跳转 => JMP GetProcAddress
0x00405958 0x00000002 特征API跳转 => JMP GetProcAddress
0x0040596A 0x00000002 特征API跳转 => JMP GetProcAddress
0x0040597C 0x00000002 特征API跳转 => JMP GetProcAddress
0x0040598E 0x00000002 特征API跳转 => JMP GetProcAddress
0x004061BF 0x00000002 特征API跳转 => JMP GetProcAddress
0x00406420 0x00000005 特征API调用 => CALL VirtualAllocEx
0x00406448 0x00000005 特征API调用 => CALL VirtualAllocEx
0x00406483 0x00000005 特征API跳转 => JMP WriteProcessMemory
0x0040649F 0x00000005 特征API跳转 => JMP WriteProcessMemory
0x0040666D 0x00000002 特征API跳转 => JMP GetProcAddress
0x00408F3E 0x0000001E 特征API跳转 => JMP AdjustTokenPrivileges
0x00408FBD 0x0000001E 特征API跳转 => JMP AdjustTokenPrivileges
0x00409BC9 0x00000002 特征API跳转 => JMP GetProcAddress
0x00409BDE 0x00000002 特征API跳转 => JMP GetProcAddress
0x00409E69 0x0000001E 特征API跳转 => JMP AdjustTokenPrivileges
0xFFFFFFFF 0x0000000F 组合行为特征 => 非法文件操作

闪电风暴 - 2008-3-25 21:36:00

然后IceSword(1.22)的驱动文件IsDrv122.sys就因写入只读内存而造成了蓝屏

闪电风暴 - 2008-3-25 21:38:00

接着,winso32.sys(病毒的驱动?)也因写入只读内存而造成蓝屏..见图..

附件: 4224712008325212646.jpg

闪电风暴 - 2008-3-25 21:40:00

所以这些蓝屏应该是病毒本身造成的.可见这个病毒本身并不完善,驱动中BUG太多.

神龙飞天 - 2008-3-26 0:56:00

这个病毒瑞星的什么版本可以搞定它

瑞星卡卡安全论坛