瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Dropper.Delf.av将“灰鸽子2.0”引入系统

123456   1  /  6  页   跳转

Dropper.Delf.av将“灰鸽子2.0”引入系统

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 14:21 | 只看楼主 短消息 资料
字号: 1楼

Dropper.Delf.av将“灰鸽子2.0”引入系统

感谢“老肥羊”网友提供Dropper.Delf.av样本love.exe。
用卡巴斯基今天最新病毒库扫love.exe——不报毒。

一、用样本love.exe感染系统后,观察到以下改变:
1、创建木马文件:
在%windows%目录下创建G_Server2.0.exe;
在%system%目录下创建vxeras.sys和cpoiuyk.dll。
2、注册表改动:
(1)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支下添加注册表键GrayPigeonServer2.0,指向C:\windows\G_Server2.0.exe;
(2)在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\分支下添加注册表键VANTI,指向C:\windows\system32\vxeras.sys。

3、HijackThis1.99.1日志中可见:
  O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\windows\G_Server2.0.exe
4、感染后,重启系统,IceSword的进程列表中可见iexplore.exe进程(虽然此时IE浏览器并未打开)。这点与“灰鸽子2005”相同。


二、手工查杀过程:
1、在IceSword的“设置”中勾选“禁止进/线程创建”。
2、结束iexplore.exe、explorer.exe以及其它非必要进程。
3、删除%windows%目录下的G_Server2.0.exe;删除%system%目录下的vxeras.sys和cpoiuyk.dll。
4、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:GrayPigeonServer2.0

(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:VANTI


附件是病毒样本,没把握者请勿下载。

附件附件:

下载次数:54
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-26 14:21:53
描述:

最后编辑2005-11-21 17:25:23
分享到:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-08-26 14:28 | 短消息 资料
字号: 2楼

这过程都有点什么味道了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 14:33 | 只看楼主 短消息 资料
字号: 3楼

引用:
【天天泡泡的贴子】这过程都有点什么味道了。
...........................

我还特意留心了一下那个.sys。
用样本感染系统后,什么都没动,立刻重启。
结果,那个.sys看来是个摆设!!
gototop
 
仅此一仙
头像
初生襁褓狮
  • 帖子:43
  • 注册: 2005-08-17
  • 来自:
发表于: 2005-08-26 14:34 | 短消息 资料
字号: 4楼

斑竹:能不能把病毒样本提供给我测试一下——
zplinux@21cn.com
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 14:40 | 只看楼主 短消息 资料
字号: 5楼

引用:
【仅此一仙的贴子】斑竹:能不能把病毒样本提供给我测试一下——
zplinux@21cn.com
...........................


已将样本加入附件中。
gototop
 
和平爱好者
头像
横据古稀狮
  • 帖子:31410
  • 注册: 2005-07-08
  • 来自:
发表于: 2005-08-26 14:41 | 短消息 资料
字号: 6楼

gototop
 
仅此一仙
头像
初生襁褓狮
  • 帖子:43
  • 注册: 2005-08-17
  • 来自:
发表于: 2005-08-26 14:50 | 短消息 资料
字号: 7楼

斑竹,提个建议:
1.发帖子不支持HTML源代码直接粘贴么?如果支持就好了,我就可以直接把我个人主页的文章直接发布在论坛上了,详情请看我的帖子——
http://forum.ikaka.com/topic.asp?board=28&artid=7073943
2.附件允许的最大容量为1Mb,有些工具无法提供,能否加大一些?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 15:01 | 只看楼主 短消息 资料
字号: 8楼

引用:
【仅此一仙的贴子】斑竹,提个建议:
1.发帖子不支持HTML源代码直接粘贴么?如果支持就好了,我就可以直接把我个人主页的文章直接发布在论坛上了,详情请看我的帖子——
http://forum.ikaka.com/topic.asp?board=28&artid=7073943
2.附件允许的最大容量为1Mb,有些工具无法提供,能否加大一些?
...........................

这些问题,请向“狮王心”反应。我们这些小版主无权处理这类问题。
gototop
 
淡漠心情
头像
初生襁褓狮
  • 帖子:913
  • 注册: 2005-08-11
  • 来自:
发表于: 2005-08-26 15:11 | 短消息 资料
字号: 9楼

引用:
【仅此一仙的贴子】斑竹,提个建议:
1.发帖子不支持HTML源代码直接粘贴么?如果支持就好了,我就可以直接把我个人主页的文章直接发布在论坛上了,详情请看我的帖子——
http://forum.ikaka.com/topic.asp?board=28&artid=7073943
2.附件允许的最大容量为1Mb,有些工具无法提供,能否加大一些?
...........................
gototop
 
老肥羊
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2005-08-26
  • 来自:
发表于: 2005-08-26 15:47 | 短消息 资料
字号: 10楼

【回复“baohe”的帖子】谢谢baohe,现在我的电脑好象已经搞定了,如果再有问题我还是会继续麻烦你的啦~~~~
gototop
 
<<上一主题|下一主题>>
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT