一只怪怪的灰鸽子
样本来自:
http://bbs.kafan.cn/viewthread.php?tid=208087&extra=page%3D1运行该样本后,在windows目录下释放无后缀的svchost
注册表改动:在HKLM\System\CurrentControlSet\Services分支添加服务项svchost(指向C:\windows\svchost)
SRENG日志可见下列异常:
服务
[svchost / svchost][Stopped/Auto Start]
<C:\windows\svchost><N/A>
隐藏进程
[3428] C:\windows\Explorer.EXE
找不到往常常见的鸽子DLL。用SSM查看被隐藏的EXPLORER.EXE进程中的模块(图1-图3)。
晕了。那些隐藏模块都是正常应用程序的.DLL。
对比感染鸽子前后的这些DLL的MD5值————无变化。
找到这只鸽子的服务项,删除。
重启。
删除鸽子文件(图4)。
[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)
