【原创】致——“fsecure”,你的灰鸽子解决方法。★★★★
具体的分析方法请看:
http://forum.ikaka.com/topic.asp?board=28&artid=8159887
在此感谢baohe版主与提供样本的fsecure瑞星报:Backdoor.Gpigeon.uql(最新版才会报。),卡巴斯基报:Backdoor.Win32.Hupigon.pv
木马行为:
运行后,新建:
%temp%\5i.dll '%temp%为当前用户的临时文件夹
C:\WINDOWS\temp\5i.dll
C:\WINDOWS\uninstal.bat
C:\WINDOWS\regeidt.exe
感染成功后,删除uninstal.bat及源文件
使用5i.dll注入系统中所有的非系统程序.设置钩子类型为WM_GETMESSAGE,试图监视程序的任何消息.
没有注入IceSword与SSM.(可能有自知之明?IceSword禁止任何程序读写它的内存的....)
注入到的Iexplore.exe与explorer.exe试图底层读写硬盘.
任何程序启动都会被注入且设置钩子.
调用services.exe,注册服务:
(Autoruns报:)
+ 提供各驱动交换、适配 以 Windows 安装程序(*.msi)的软件包提供的应用程序。如果禁用了此服务,任何完全依赖它的 c:\windows\system32\regeidt.exe
但是也没禁用HJ.
O23 - Service: Windows Installe (提供各驱动交换、适配) - Unknown owner - C:\windows\system32\regeidt.exe
受感染系统会明显变慢.
清除方法:
将SSM设置为自动启动.
在SSM中,禁止C:\WINDOWS\temp\5i.dll与%temp%\5i.dll加载.
重启系统.
运行注册表编辑器.
展开:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
删除左边的:
提供各驱动交换\适配中文的,好找.呵呵
再次重启系统.清空临时文件夹,删除
C:\WINDOWS\temp\5i.dll
C:\WINDOWS\regeidt.exe
