瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【吹牛】一个免杀世界所有杀毒软件的灰鸽子变种

123456   4  /  6  页   跳转

【吹牛】一个免杀世界所有杀毒软件的灰鸽子变种

收藏
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-05-20 11:36 | 短消息 资料
字号: 31楼

笑死了

拿个免杀工具 过一下 而已

这种免杀你自己玩吧
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-20 11:39 | 短消息 资料
字号: 32楼

File size: 132303 bytes
MD5: 583f86d285d644ad34727456297a32bd
SHA1: 857f638baa9cb1c97984c2dc88c168e4a06e0842

加花,UPX,隐藏入口点,达到免杀,不过对于的启发式和虚拟脱壳技术没用

一句话:表面免杀,的确,程序能运行,不过运行后也被杀,所以结果一样

思路还不错,利用宿主Svchost反弹连接

哎,不说了...

一些资料:


rocess:
  Path: C:\Documents and Settings\admin\桌面\server.exe
  PID: 1404
Registry Group: Services
Object:
  Registry key: HKLM\SYSTEM\CurrentControlSet\Services\netctrl
  Registry value: Info
      Type: REG_SZ
      Value: 0;1*40?&9/07=?>789?:22751;7?<                                                                                                      Process:
  Path: C:\Documents and Settings\admin\桌面\server.exe
  PID: 1404
Registry Group: Services
Object:
  Registry key: HKLM\SYSTEM\CurrentControlSet\Services\netctrl\Parameters

      Process:
  Path: C:\Documents and Settings\admin\桌面\server.exe
  PID: 1404
Registry Group: Services
Object:
  Registry key: HKLM\SYSTEM\CurrentControlSet\Services\netctrl\Parameters
  Registry value: ServiceDll
      Type: REG_EXPAND_SZ
      Value: C:\winnt\system32\syst.dll

   

Parent process:
  Path: C:\Documents and Settings\admin\桌面\server.exe
  PID: 1404
Child process:
  Path: C:\WINNT\system32\CMD.EXE
  Information: Windows NT Command Processor (Microsoft Corporation)
  Command line:cmd /c del "C:\Documents and Settings\admin\桌面\server.exe"

Process:
  Path: C:\WINNT\system32\svchost.exe
  PID: 1144
  Information: Generic Host Process for Win32 Services (Microsoft Corporation)

Network information:
  IP address: 61.156.7.6
  Trusted zone: No
  Protocol: IP

Process:
  Path: C:\WINNT\system32\svchost.exe
  PID: 1144
  Information: Generic Host Process for Win32 Services (Microsoft Corporation)

Network information:
  IP address: 219.146.4.130
  Trusted zone: No
  Protocol: IP

还带了个SOCK5后门,呵呵


年轻人,D调点..我也大不了你几岁.
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-20 11:46 | 短消息 资料
字号: 33楼

过国际杀软只怕也是空穴来风

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.18.2007  no virus found
AntiVir 7.4.0.23 05.18.2007 HEUR/Crypted
Authentium 4.93.8 05.18.2007 could be a corrupted executable file
Avast 4.7.997.0 05.18.2007 Win32:Hupigon-AMD
AVG 7.5.0.467 05.19.2007  no virus found
BitDefender 7.2 05.20.2007 GenPack:Generic.Graybird.CEF159FF
CAT-QuickHeal 9.00 05.18.2007  no virus found
ClamAV devel-20070416 05.19.2007  no virus found
DrWeb 4.33 05.19.2007 BackDoor.Beizhu
eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3644 05.19.2007  no virus found
Ewido 4.0 05.19.2007 Backdoor.Hupigon.ene
FileAdvisor 1 05.20.2007  no virus found
Fortinet 2.85.0.0 05.20.2007 suspicious
F-Prot 4.3.2.48 05.18.2007  no virus found
F-Secure 6.70.13030.0 05.18.2007  no virus found
Ikarus T3.1.1.7 05.19.2007 Generic.Graybird
Kaspersky 4.0.2.24 05.20.2007  no virus found
McAfee 5034 05.18.2007  no virus found
Microsoft 1.2503 05.20.2007 Backdoor:Win32/Hupigon!03ED

gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-20 11:53 | 短消息 资料
字号: 34楼

引用:
【★绝世黑客★的贴子】就你那人品,还想冲能,我刚下载了一个瑞星,升级到最新,什么也没杀出来,何况那个鸽子又不是2007,为什么显示2007?你心眼真多,哪弄个灰鸽子自己杀出来的,你真是个人才,人才中的人才,小弟绝对佩服这种计谋。在说了,你手工杀不干净。
  这个鸽子绝对能运行,不是死的,过卡巴主动防御。129KB,
 
………………

煮熟的鸭子——肉烂嘴不烂!我真服你了!
自己看。看不懂?那就别以什么“黑客天才”自居了。

附件附件:

下载次数:212
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-20 11:53:55
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-20 11:54 | 短消息 资料
字号: 35楼

注册表改动

附件附件:

下载次数:201
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-20 11:54:37
描述:
预览信息:EXIF信息
gototop
 
★绝世黑客★
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-05-20
  • 来自:
发表于: 2007-05-20 11:55 | 只看楼主 短消息 资料
字号: 36楼

你这样说对了,这句话我服。这个病毒,在改改特征码,一般杀毒查不出来的,已经可以玩拉,在真正的高手群里,我只是想看下本论坛人员的水平。
孤单更可靠说的这些,才是用实际行动说出来的。
gototop
 
★绝世黑客★
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-05-20
  • 来自:
发表于: 2007-05-20 12:00 | 只看楼主 短消息 资料
字号: 37楼

我想问一下,一般用户,装个杀毒,一旦这个变种发出去,他们能杀掉吗?毕竟高手是有限的,虽然我很支持国产杀毒,但是,国产杀毒的水平......我只能这样说了。
因为我小,我未成年,我不懂事,所以,说点大话又和访?
我还想希望瑞星能把水平提上去。
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-05-20 12:06 | 短消息 资料
字号: 38楼

麻烦 病毒样本发到我邮箱好么
newcenturymoon1986@yahoo.com.cn
加密 123

杀毒软件现在一般很难在正常模式下 处理鸽子 安全模式下会处理掉一般
还是希望最好把这些东西用到好的地方 学学手工杀毒 帮帮这里的求助者 多好啊
gototop
 
yqlikaka
头像
叱咤花甲狮
  • 帖子:4469
  • 注册: 2007-01-05
  • 来自:蓉城
论坛8周年活动礼物童年风车09欢乐圣诞
发表于: 2007-05-20 12:10 | 短消息 资料
字号: 39楼

黑客天才?16岁?太大了,13岁这个水平都成不了大气,只能做病毒作者,而不是黑客.....
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-05-20 12:15 | 短消息 资料
字号: 40楼

引用:
【★绝世黑客★的贴子】我想问一下,一般用户,装个杀毒,一旦这个变种发出去,他们能杀掉吗?毕竟高手是有限的,虽然我很支持国产杀毒,但是,国产杀毒的水平......我只能这样说了。
因为我小,我未成年,我不懂事,所以,说点大话又和访?
我还想希望瑞星能把水平提上去。
………………


看杀软了,表面免杀那很正常,瑞星表面没报,实际上你运行时候就会被杀掉(杀内存\虚拟技术)

普通用户?

[Remote Help & Control Service / netctrl][Running/Auto Start]
  <C:\winnt\system32\svchost.exe -k remoteservice-->C:\winnt\system32\syst.dll><N/A>


SREng日志也跟踪到了,如果有人发日志求助的话,那么这个服务项会被删除.

灰鸽子的真正的水平可没那么菜(无进程\rootkit\隐自身等等),不过建议你别研究了,只能是浪费时间.
建议去学点有益的,比如说网络安全
gototop
 
<<上一主题|下一主题>>
123456   4  /  6  页   跳转
页面顶部
Powered by Discuz!NT