瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Dropper.Delf.av将“灰鸽子2.0”引入系统

123456   4  /  6  页   跳转

Dropper.Delf.av将“灰鸽子2.0”引入系统

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-27 14:14 | 只看楼主 短消息 资料
字号: 31楼

【回复“仅此一仙”的帖子】
注册表改动:2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-27 14:14:18
描述:
gototop
 
呆呆虫
头像
叱咤花甲狮
  • 帖子:2900
  • 注册: 2003-07-05
  • 来自:
发表于: 2005-08-27 15:11 | 短消息 资料
字号: 32楼

【回复“baohe”的帖子】卡吧已可查

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-27 15:11:01
描述:
gototop
 
老肥羊
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2005-08-26
  • 来自:
发表于: 2005-08-27 15:14 | 短消息 资料
字号: 33楼

引用:
【仅此一仙的贴子】 感谢斑竹baohe提供病毒样本供测试,
有两点意见与版主提供的意见不符:
1、创建木马文件:在%system%目录下创建vxeras.sys和cpoiuyk.dll。
2、注册表改动在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\分支下添加注册表键VANTI,指向C:\windows\system32\vxeras.sys
我测试的环境是:windows xp sp1
测试过程中并没有发现这两点改变。
此外我发现注册表还有两处改动:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
……
测试过程我截取了21幅图片,加以说明。
限于篇幅关系,我就不一一贴上来了,
详情请访问我的个人主页:
...........................


我的电脑是Windows2000,先是用IceSword清理注册表,展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\,删除:GrayPigeonServer2.0,顺手删除%windows%目录下的G_Server2.0.exe,当时没找到vxeras.sys和cpoiuyk.dll两个文件,于是重启,在安全模式下杀毒,找到并杀之。至于VANTI项,一直没找着。今天看到仅此一仙的贴子,果然发现HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0,在打开的注册表里无法删除,于是再开IceSword,手起刀落删除干净。此外,提交捆绑了木马的WMV文件至http://www.virustotal.com/flash/index_en.html进行病毒分析,结果如下:

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-27 15:14:09
描述:
gototop
 
direct9
头像
自信弱冠狮
  • 帖子:259
  • 注册: 2005-01-29
  • 来自:
发表于: 2005-08-27 16:16 | 短消息 资料
字号: 34楼

请问大家backdoor.win32.delf.vk是不是和这个性质一样,我在网吧用卡巴扫了却杀不了
gototop
 
hello小样
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2005-08-27
  • 来自:
发表于: 2005-08-27 17:10 | 短消息 资料
字号: 35楼

楼主  我是新手我也重了灰鸽子,但是我看了这上面说的几种杀毒方法对我来说,根本不起作用,灰鸽子可以自己建立服务器,一般都是要我们去注册表里面找这个东西,可我的根本没有,我又去了安全模式里面找_hook.dll,并没有找到哪个game_hook.dll
但是我的毒软明明又能找这个病毒,我现在就不晓得该怎么办了
我的灰鸽子病毒是Backdoor.Gpigeon.gz  哪位大哥帮帮嘛,加我qq嘛
154696130
gototop
 
我快急疯了
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2005-08-27
  • 来自:
发表于: 2005-08-27 17:15 | 短消息 资料
字号: 36楼

灰鸽子后门,本人在半月内连中3次.瑞星对它根本无效!!!据传最近在网络中很多人都感染此病毒已成高峰期.  作为国内知名杀毒网站,瑞星对该病毒居然毫无办法,实属天大笑话!!在此强烈要求瑞星对此毒加快研究开发!!
gototop
 
lvseqiji
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2005-08-27
  • 来自:
发表于: 2005-08-27 17:29 | 短消息 资料
字号: 37楼

各位网络高手,帮帮忙,我的电脑中了病毒,名为“dropper.delf.av"杀完又有,且经常死机,我该怎么办?????????????????????5555555555555555555555555555555555555555555555555………………………………………………………………快来帮我啊。小弟在此谢过了!
gototop
 
苍寒
头像
健康舞勺狮
  • 帖子:338
  • 注册: 2005-06-29
  • 来自:Windows 7
发表于: 2005-08-27 17:47 | 短消息 资料
字号: 38楼

baohe斑竹用的是文件记录软件,在机子(或虚拟系统)上运行病毒,观察其行动,记录他所改过的文件和程序和注册表,然后在恢复.难度较大,步骤要求极为严格,对系统极为熟悉,新手不要模仿.所用程序:
File Monitor(文件行为监测);Registry Monitor(注册表监测);  IRIS(网络行为监测)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-27 17:47:12
描述:
gototop
 
bobo无极限
头像
初生襁褓狮
  • 帖子:12325
  • 注册: 2005-07-08
  • 来自:
发表于: 2005-08-27 23:26 | 短消息 资料
字号: 39楼

关注
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2005-08-28 00:49 | 短消息 资料
字号: 40楼

引用:
【baohe的贴子】
我还特意留心了一下那个.sys。
用样本感染系统后,什么都没动,立刻重启。
结果,那个.sys看来是个摆设!!
...........................

吓一跳……以为Rootkit了
gototop
 
<<上一主题|下一主题>>
123456   4  /  6  页   跳转
页面顶部
Powered by Discuz!NT