“新版灰鸽子”的一些特点及手工查杀举例
目前,新版灰鸽子开始流行。看了几个网友的杀毒报告和HijackThis1.99.1扫的日志,归纳出以下特点,供朋友们自己动手查杀时参考:
1、木马文件所在位置不定。目前,看到三种情况:
(1)木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。
(2)木马文件在%windows%\Internet Explorer\文件夹中(这个文件夹是灰鸽子创建的)。
(3)木马文件在%system%\drviers\文件夹中。
2、可执行文件.exe的文件名变化不定。目前见到的有:
C:\windows\Internet Explorer\svchost.exe
C:\WINDOWS\system32\drivers\UPS.exe
3、共同的特点:
(1)以前的.DLL文件没了,改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本,感染系统后,在C:\windows\下创建一个名为Internet Explorer的文件夹;生成的木马文件位于C:\windows\Internet Explorer\文件夹内(杀毒前,用资源管理器看不到其中的木马文件)。用IceSword可看到这个文件夹中的两个木马文件svchost.exe和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。
(2)HijackThis1.99.1日志中可以发现异常系统服务项O23。如:O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中,括弧中的virtual就是要删除的注册表项;C:\windows\Internet Explorer\是木马可执行文件所在的文件夹,svchost.exe是木马的可执行文件。
(3)感染系统后,那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程(见附图中的红色部分)。这正是灰鸽子难杀的根本原因。
4、手工查杀(以我拿到的那个样本为例):
在IceSword的“设置”中勾选“禁止进程创建,结束木马进程(本例是C:\windows\Internet Explorer\svchost.exe)、iexplore.exe(IE浏览器进程)。
用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项(本例是virtual和mchInjDrv,均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支)。
在IceSword的“设置”中取消“禁止进程创建”,重启系统。
将C:\windows\Internet Explorer\整个文件夹删除。
