1   1  /  1  页   跳转

一只新的“灰鸽子”

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-31 22:00 | 显示全部 短消息 资料
字号: 1楼

一只新的“灰鸽子”

感谢“蓝米”网友提供样本。卡巴斯基将此后门命名为:Backdoor.Win32.GrayBird.bh
一、感染系统:
在C:\windows\下创建文件夹Internet Explorer

创建以下木马文件:
1、C:\windows\Internet Explorer\OJSKSU.DAT

2、C:\windows\Internet Explorer\svchost.exe


二、更改注册表:
在:HKLM\System\CurrentControlSet\Services分支添加:mchInjDrv 和 virtual两个注册表键。


三、HijackThis1.99.1日志中可见:

O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe

四、IceSword的进程列表中可见IE浏览器进程(此时IE浏览器并未打开)。

五、用IceSword的手工查杀方法:鉴于C:\windows\Internet Explorer\文件夹中的文件全部隐藏(见附图),建议用IceSword查杀此后门。

1、在IceSword的“设置”中勾选“禁止进程创建,删除C:\windows\Internet Explorer\svchost.exe。

2、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:mchInjDrv
(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:virtual
3、重启系统,删除C:\windows\Internet Explorer\OJSKSU.DAT及C:\windows\Internet Explorer文件夹。

注:用TPF2005的Activity Monitor还检测到这只鸽子在C:\windows\TEMP\下创建了一个mc24BA.tmp文件。但用资源管理器和IceSword均找不到此文件。手工杀毒后,再用卡巴斯基扫C:\windows\TEMP\文件夹——不报毒。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-31 22:00:05
描述:



最后编辑2005-09-01 11:54:39
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-31 22:38 | 显示全部 短消息 资料
字号: 2楼

引用:
【命运里の金色的贴子】看来以后要没规律了
...........................

注意:这只鸽子没有.dll文件生成,而是代之以.dat。这个.dat文件疯狂插入到系统当前的各个进程中。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-31 23:20 | 显示全部 短消息 资料
字号: 3楼

引用:
【真命小虫的贴子】版主,也没有_hook.dll文件了

我感染系统后重启了一次,在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services下面也找到病毒服务,我琢磨着重启后病毒会随机在ControlSet00*里存有服务备份
...........................

这可能是所谓注册表的“多重入口”现象。我也能找到三对(6个)注册表项(见图1)。但是,删除其中一对(2个)后,其余的就全部消失了(图2)。

图1

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-31 23:20:18
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-31 23:21 | 显示全部 短消息 资料
字号: 4楼

【回复“真命小虫”的帖子】

图2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-31 23:21:16
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-01 09:40 | 显示全部 短消息 资料
字号: 5楼

引用:
【蓝米的贴子】终于有救了,谢谢版主
IceSword 是什么?在哪找呀!我很菜,不要见笑!
...........................

不用ICESWORD也可以杀。要点是:先删除那两个注册表项,然后重启系统。灰鸽子创建的文件及文件夹全部可见,且可直接删除。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-01 10:03 | 显示全部 短消息 资料
字号: 6楼

【回复“真命小虫”的帖子】
你说的对。感染系统后立即重启系统,注册表中会多出一对键。应该删除。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-01 11:54 | 显示全部 短消息 资料
字号: 7楼

【回复“taylor05771”的帖子】
搜索“蓝米”的帖子,在附件中。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT