12345   1  /  5  页   跳转

一只“狗皮膏药”式的灰鸽子

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-31 21:16 | 只看楼主 短消息 资料
字号: 1楼

一只“狗皮膏药”式的灰鸽子

鸽子样本来源:【http://pickup.mofile.com/0040017004434143 ;提取码 0040017004434143 】
【注】这个网络硬盘提取的木马文件有可能有问题(不全)。感谢“闪电风暴”将完整样本提供给我。

这只鸽子的特点是“跟踪式DLL注入”。即:你运行什么程序,它就试图将那个5i.dll注入那个你要运行的程序。你不让它注入?那你就瞧好儿吧!
这样的鸽子,不适合用SSM禁止其dll(本例是5i.dll)运行。
第一次观察这只鸽子,我就吃了这个亏。用SSM禁止5i.dll运行后,系统就像死掉一样,慢得让人抓狂!关闭或打开一个程序,你可以先睡一觉儿去。回来再看看——那个程序也未必就关闭/打开了。那个5i.dll就像“狗皮膏药”一样——粘上你的系统了。
这只鸽子得弱点在于——没有解决“安全模式”下的启动加载问题。
对付它,你只要在普通WINDOWS模式下将其服务项删除,然后,重启到安全模式下,删除其文件(见附图),就轻易搞掂了。
可能有人会问:你在普通WINDOWS模式下删除它的启动项时,不是也得用工具吗?
那个5i.dll不是也要插入你所用的工具进程中吗?
没错!它是要插工具进程的。让它插好了。即使工具进程被插了,也一样能将鸽子的服务项删除。

附件附件:

下载次数:371
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-31 21:16:52
描述:
预览信息:EXIF信息



最后编辑2006-09-02 21:23:57
分享到:
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-08-31 21:20 | 短消息 资料
字号: 2楼

学习了...
现在的鸽子多种多样...
“狗皮膏药”猫叔这个比喻用得好
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-08-31 21:38 | 短消息 资料
字号: 3楼

刚刚运行了一下~
现在这个还在系统里~
想问一下~它可能造成的危胁是什么?偷东西??
在它运行时,能解决它吗?
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-08-31 21:39 | 短消息 资料
字号: 4楼

我没有让它的服务运行~~
只是允许安装钩子~~
gototop
 
从头爱你
头像
锋芒艾服狮
  • 帖子:1791
  • 注册: 2005-06-17
  • 来自:
发表于: 2006-08-31 21:40 | 短消息 资料
字号: 5楼

学习ing```猫``
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-31 21:41 | 只看楼主 短消息 资料
字号: 6楼

引用:
【影子110的贴子】刚刚运行了一下~
现在这个还在系统里~
想问一下~它可能造成的危胁是什么?偷东西??
在它运行时,能解决它吗?


………………

这是一只“死脑筋”的鸽子。你不让它插进程,它不干!
让它插!
在安全模式下收拾它。
【这鸽子的作者也是“死脑筋”!这么执着——太容易暴露身份。】
gototop
 
fsecure
头像
初生襁褓狮
  • 帖子:20
  • 注册: 2006-08-31
  • 来自:
发表于: 2006-08-31 21:51 | 短消息 资料
字号: 7楼

怎么你机器运行以后的情况和我不同啊,那个服务项好像并没有安装成功吧?从“服务”进去看其属性,弹出一个“服务器配置内部错误”(好像是这么说的,记不太清了),而且其属性中也是停止的--貌似没有运行成功吧?
其二是当禁止其5i.dll及regeidt.exe后,在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中,忘记了,没把当时在已经创建进程里插入的tmp文件截图下来。

不知大家是怎么测试的,有条件可以不开ssm的情况下安装后重启再打开ssm观察清除,应该就会出现我这种状况。(重启后原当前用户的temp里的5i.dll删除,而系统temp目录下的仍有并被插入)


不好意思,这是我在闪电帖子里回的,在这又回了一遍,只是想让大家多看看,不拦截它安装后是如何的情形。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-31 22:20 | 只看楼主 短消息 资料
字号: 8楼

引用:
【fsecure的贴子】怎么你机器运行以后的情况和我不同啊,那个服务项好像并没有安装成功吧?从“服务”进去看其属性,弹出一个“服务器配置内部错误”(好像是这么说的,记不太清了),而且其属性中也是停止的--貌似没有运行成功吧?
其二是当禁止其5i.dll及regeidt.exe后,在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中,忘记了,没把当时在已经创建进程里插入的tmp文件截图下来。

不知大家是怎么测试的,有条件可以不开ssm的情况下安装后重启再打开ssm观察清除,应该就会出现我这种状况。(重启后原当前用户的temp里的5i.dll删除,而系统temp目录下的仍有并被插入)


不好意思,这是我在闪电帖子里回的,在这又回了一遍,只是想让大家多看看,不拦截它安装后是如何的情形。
………………

完全按照你的意思,重新将鸽子种在系统中。
看好啊——服务装上了,没问题。

附件附件:

下载次数:329
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-31 22:20:27
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-31 22:22 | 只看楼主 短消息 资料
字号: 9楼

重启系统后:
它一定要插卡巴斯基。
Tiny不让插,就只能这么僵持着。想结束卡巴斯基进程都不行!什么都不能干!
这“一根儿筋”厉害吧!

附件附件:

下载次数:290
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-31 22:22:33
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-31 22:23 | 只看楼主 短消息 资料
字号: 10楼

关闭Tiny的所有模块,让它插吧。
然后,该轮到我动手了:
1、删除鸽子的服务项。
2、重启到安全模式下。
3、痛宰!

附件附件:

下载次数:254
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-31 22:23:49
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
12345   1  /  5  页   跳转
页面顶部
Powered by Discuz!NT