一只极其变态的灰鸽子

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛一只极其变态的灰鸽子

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-05-10 17:17 \| 显示全部短消息资料字号：小中大 1楼一只极其变态的灰鸽子这只鸽子夹带在一个自称为“WinRAR 3.51 正式版（苹果风格）美化版.exe”的工具软件中。这个WINRAR根本就无法正常完成安装过程。倒是其中的那只鸽子可以完整的植入系统中【见本帖25楼的GIF动画】。之所以说它变态，是因为这只鸽子与“街头篮球”中的那只鸽子及其相似——通过修改iexplore.exe内存，加载一个C:\WINDOWS\Temp\mc210.tmp的驱动，再次修改iexplore.exe内存，再经iexplore.exe插入smss、csrss、winlogon、services、lsass、svchost、spoolsv、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、UmxTray、Umxlu、Ati2evxx、MDM、QCONSVC、explorer、alg、ctfmon、amon、IDMan、HyperSnap等系统进程和正在运行的应用程序进程。有意思的是：它并没有尝试插入SSM进程（说明SSM的自身防护问题已经解决的比较好了）。这只鸽子释放的文件为： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 注册表改动为：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加：windows启动程序。尽管鸽子的作者费尽心机，将这只鸽子做成“多进程多线程插入”，但是，用SSM查杀这只鸽子，操作依然很简单： 1、在“规则”中禁止下列三个文件运行（见图）： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll 2、将SSM设置为“自动加载”。 3、重启系统。至此，这只鸽子已经成了废物。下面的操作属于“扫垃圾”。 4、显示隐藏文件。 5、删除： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 6、打开注册表编辑器，展开： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 删除：“windows启动程序”。至此，这只变态的鸽子就被彻底收拾了。图附件: 文件名:1558472006510172508.jpg 下载次数:311 文件类型:image/pjpeg 文件大小: 上传时间:2006-5-10 17:17:51 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-05-19 18:05:43
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-05-10 21:27 \| 显示全部短消息资料字号：小中大 2楼【回复“独孤豪侠”的帖子】这只鸽子，我是开着“卡巴斯基”玩儿的。卡巴没任何反应。倒是SSM频繁报警。进程插入一一做了截图（30多张），图太多，不便一一贴上。故将整个过程改为文字叙述。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-10 21:33 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【轩辕小聪的贴子】果然厉害，插入一两个核心进程的最近见到了几个，可几乎插入所有系统核心进程的，同时还有驱动的，还真是罕见。不过，再厉害，也是一样被解决掉。
...........................

UmxCfg、UmxFwHlp、UmxPol、UmxAgent、UmxTray、Umxlu、amon——这些是TPF2005的进程。全部被插，无一幸免。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-10 21:50 | 显示全部 短消息资料

字号：小中大 4楼

引用:

【轩辕小聪的贴子】
太恐怖……就只剩下IceSword和SSM的进程它插不了了吧？
...........................

当时没开IceSword。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-10 21:56 | 显示全部 短消息资料

字号：小中大 5楼

引用:

【独孤豪侠的贴子】唉~~~~~太BT了!Hijackthis以看出来不/
...........................

Hijackthis能看出来。
这只鸽子的隐蔽性并不好。
估计此鸽子作者的心理严重变态——你就是查出来，也没法轻易搞掂。重装系统吧，您呐！

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-10 22:01 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【轩辕小聪的贴子】【回复“baohe”的帖子】
这么说是有恃无恐的那种了……
不过病毒作者太自信了，结果还不是一样被搞定了。
...........................

估计鸽子的作者们今后该仔细研究SSM了。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-10 22:06 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【独孤豪侠的贴子】呵呵~~~~~~是呀,插入这么多进程,怎么杀呀.唉~~~~~最好还是不要中这样的毒~!
...........................

使用网上下载的程序——千万要当心。这只鸽子就是夹在一个WINRAR中。
下载后，用杀软杀毒——不报。那就放心安装吧。结果——把只鸽子装上了！

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-05-11 09:05 \| 显示全部短消息资料字号：小中大 8楼 SSM监测这只“灰鸽子”植入系统的全过程（见附图）附：GIF动画（为了仔细观察每一步的警示内容，此动画各幅图间的时间间隔略长些，请耐心观看。）附件: 文件名:155847200651190547.gif 下载次数:226 文件类型:image/pjpeg 文件大小: 上传时间:2006-5-11 9:05:47 描述:
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-11 09:42 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【不言放弃的贴子】
耐心的看完了
确实与街头篮球的情形很相似啊

...........................

为了减少GIF的大小，做这个GIF时，我略去了重复画面。实际上，图中的每个画面都反复出现7次（多线程插入）。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-11 16:36 | 显示全部 短消息资料

字号：小中大 10楼

引用:

【黑灯黑火的贴子】这些鸽子为什么总是会通过IE来插入这些系统进程呢，，
只是因为隐蔽吗？还是因为通过IE来操作更加容易？
如果在SSM中对IE的安全规则进行设置，这个鸽子是否还可以利用IE插入那么多进程~~？
...........................

1、在IE中创建线程是鸽子的传统。
2、至于这样是不是更容易实现多线程插入，我不知道。我不动编程。
3、“在SSM中对IE的“系统控制”“代码注入”进行设置”——只是禁止其它程序插入IE，并不能阻止被恶意程序搞过的IE进程往其它进程中插入线程。

<<上一主题|下一主题>>

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-05-10 17:17 \| 显示全部短消息资料字号：小中大 1楼一只极其变态的灰鸽子这只鸽子夹带在一个自称为“WinRAR 3.51 正式版（苹果风格）美化版.exe”的工具软件中。这个WINRAR根本就无法正常完成安装过程。倒是其中的那只鸽子可以完整的植入系统中【见本帖25楼的GIF动画】。之所以说它变态，是因为这只鸽子与“街头篮球”中的那只鸽子及其相似——通过修改iexplore.exe内存，加载一个C:\WINDOWS\Temp\mc210.tmp的驱动，再次修改iexplore.exe内存，再经iexplore.exe插入smss、csrss、winlogon、services、lsass、svchost、spoolsv、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、UmxTray、Umxlu、Ati2evxx、MDM、QCONSVC、explorer、alg、ctfmon、amon、IDMan、HyperSnap等系统进程和正在运行的应用程序进程。有意思的是：它并没有尝试插入SSM进程（说明SSM的自身防护问题已经解决的比较好了）。这只鸽子释放的文件为： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 注册表改动为：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加：windows启动程序。尽管鸽子的作者费尽心机，将这只鸽子做成“多进程多线程插入”，但是，用SSM查杀这只鸽子，操作依然很简单： 1、在“规则”中禁止下列三个文件运行（见图）： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll 2、将SSM设置为“自动加载”。 3、重启系统。至此，这只鸽子已经成了废物。下面的操作属于“扫垃圾”。 4、显示隐藏文件。 5、删除： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 6、打开注册表编辑器，展开： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 删除：“windows启动程序”。至此，这只变态的鸽子就被彻底收拾了。图附件: 文件名:1558472006510172508.jpg 下载次数:311 文件类型:image/pjpeg 文件大小: 上传时间:2006-5-10 17:17:51 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-05-19 18:05:43
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 一只极其变态的灰鸽子

一只极其变态的灰鸽子

一只极其变态的灰鸽子

附件:

文件名:1558472006510172508.jpg 下载次数:311 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(245096); 上传时间:2006-5-10 17:17:51 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:155847200651190547.gif 下载次数:226 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(0); 上传时间:2006-5-11 9:05:47 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛一只极其变态的灰鸽子

文件名:1558472006510172508.jpg

下载次数:311

文件类型:image/pjpeg

文件大小:

上传时间:2006-5-10 17:17:51

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:155847200651190547.gif

下载次数:226

文件类型:image/pjpeg

文件大小:

上传时间:2006-5-11 9:05:47

描述: