斑竹帮忙看看呀哪个是灰鸽子的东西谢谢了 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛斑竹帮忙看看呀哪个是灰鸽子的东西谢谢了

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

斑竹帮忙看看呀哪个是灰鸽子的东西谢谢了

现在进行时锋芒艾服狮帖子:1837 注册: 2005-06-24 来自:	发表于： 2005-07-12 21:23 \| 短消息资料字号：小中大 11楼 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
现在进行时锋芒艾服狮帖子:1837 注册: 2005-06-24 来自:

挥发盘绕初生襁褓狮帖子:12 注册: 2005-07-12 来自:	发表于： 2005-07-12 21:24 \| 只看楼主短消息资料字号：小中大 12楼是不是按后面的路径找啊找不到呀
挥发盘绕初生襁褓狮帖子:12 注册: 2005-07-12 来自:

9527* 叱咤花甲狮帖子:5208 注册: 2004-04-19 来自:	发表于： 2005-07-12 21:24 \| 短消息资料字号：小中大 13楼刚才查了一下，可能是灰鸽子的变种木马。该病毒通过创建自启动服务来达到开机运行的目标，而通常做法是通过修改注册表的启动项来实现，使得病毒更隐蔽。该病毒运行之后会将自己复制到系统安装目录，并启动为开机运行的服务“simple tip ip server”，同时释放一个用来开始后门DLL文件。它修改IE设置，将IE主页改为“about:blank”，禁止IE检查是否默认主页，禁止网络链接向导等，以防止病毒开启IE时被用户发觉。然后它就在后台将IE启动为服务，再将释放的DLL文件加载到IE中，以逃过防火墙的检测。然后通知攻击者病毒的存在，让攻击者连接中毒电脑并控制该电脑。 1.创建互斥体Gpigeon_Shared_MUTEX防止病毒的多个实例运行。 2.将自己复制为%SystemRoot%\server.exe，并将其加载为自动运行的系统服务“simple tip ip server”，同时还释放Dll文件server.dll，该文件大小为659968。 3.修改注册表：添加主键以及表项，用来启动服务“simple tip ip server”: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server "Type"=dword:00000110 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"="%SystemRoot%\server.exe" "DisplayName"="simple tip\ip server" "ObjectName"="LocalSystem" "Description"="simple tip ip server" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server\Security "Security"=<系统相关的十六进制代码> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server\Enum "0"="Root\\LEGACY_SIMPLE_TIP_IP_SERVER\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER] "NextInstance"=dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000 "Service"="simple tip ip server" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="simple tip\ip server" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000\Control "NewlyCreated"=dword:00000000 "ActiveService"="simple tip ip server" 修改IE设置： HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Control Panel\ "Connwiz Admin Lock"=dword:00000001 "Check_If_Default"=dword:00000000 HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main "Start Page"="about:blank" "default_page_url"="about:blank" "First Home Page"="about:blank" "Check_Associations"="no" HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main "Check_Associations"="no" 4.将IEXPLORE.EXE启动为服务，并将server.dll注入到该进程中，病毒以IEXPLORE.EXE身份访问网络，通知外界攻击者，然后开启后门，让攻击者链接并控制中毒电脑。
9527* 叱咤花甲狮帖子:5208 注册: 2004-04-19 来自:

挥发盘绕初生襁褓狮帖子:12 注册: 2005-07-12 来自:	发表于： 2005-07-12 22:17 \| 只看楼主短消息资料字号：小中大 14楼谢谢建能和各位帮忙的大哥哥已经差不到毒了谢谢了
挥发盘绕初生襁褓狮帖子:12 注册: 2005-07-12 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT