瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一只新的“灰鸽子”
baohe - 2005-8-31 22:00:00
感谢“蓝米”网友提供样本。卡巴斯基将此后门命名为:Backdoor.Win32.GrayBird.bh
一、感染系统:
在C:\windows\下创建文件夹Internet Explorer

创建以下木马文件:
1、C:\windows\Internet Explorer\OJSKSU.DAT

2、C:\windows\Internet Explorer\svchost.exe


二、更改注册表:
在:HKLM\System\CurrentControlSet\Services分支添加:mchInjDrv 和 virtual两个注册表键。


三、HijackThis1.99.1日志中可见:

O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe

四、IceSword的进程列表中可见IE浏览器进程(此时IE浏览器并未打开)。

五、用IceSword的手工查杀方法:鉴于C:\windows\Internet Explorer\文件夹中的文件全部隐藏(见附图),建议用IceSword查杀此后门。

1、在IceSword的“设置”中勾选“禁止进程创建,删除C:\windows\Internet Explorer\svchost.exe。

2、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:mchInjDrv
(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:virtual
3、重启系统,删除C:\windows\Internet Explorer\OJSKSU.DAT及C:\windows\Internet Explorer文件夹。

注:用TPF2005的Activity Monitor还检测到这只鸽子在C:\windows\TEMP\下创建了一个mc24BA.tmp文件。但用资源管理器和IceSword均找不到此文件。手工杀毒后,再用卡巴斯基扫C:\windows\TEMP\文件夹——不报毒。

附件: 1558472005831224510.jpg
天天泡泡 - 2005-8-31 22:12:00
换窝了啊
命运里の金色 - 2005-8-31 22:14:00
看来以后要没规律了
garnett21 - 2005-8-31 22:16:00
恩,好象现在不都是在windows文件夹了
从头爱你 - 2005-8-31 22:19:00
这么强悍阿``````
真命小虫 - 2005-8-31 22:38:00
虽然卡巴报是灰鸽子,运行之后才发现行为有些不一样~
baohe - 2005-8-31 22:38:00
引用:
【命运里の金色的贴子】看来以后要没规律了
...........................

注意:这只鸽子没有.dll文件生成,而是代之以.dat。这个.dat文件疯狂插入到系统当前的各个进程中。
命运里の金色 - 2005-8-31 22:41:00
【回复“baohe”的帖子】晕,难道以后要流行dat插入了
真命小虫 - 2005-8-31 22:51:00
版主,也没有_hook.dll文件了

我感染系统后重启了一次,在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services下面也找到病毒服务,我琢磨着重启后病毒会随机在ControlSet00*里存有服务备份
魔法学徒 - 2005-8-31 22:56:00
升级的好快
1234567111 - 2005-8-31 23:00:00
病毒也在更新啊
晓肚肚 - 2005-8-31 23:07:00
厉害啊毒
baohe - 2005-8-31 23:20:00
引用:
【真命小虫的贴子】版主,也没有_hook.dll文件了

我感染系统后重启了一次,在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services下面也找到病毒服务,我琢磨着重启后病毒会随机在ControlSet00*里存有服务备份
...........................

这可能是所谓注册表的“多重入口”现象。我也能找到三对(6个)注册表项(见图1)。但是,删除其中一对(2个)后,其余的就全部消失了(图2)。

图1

附件: 1558472005831232018.jpg
baohe - 2005-8-31 23:21:00
【回复“真命小虫”的帖子】

图2

附件: 1558472005831232116.jpg
影子110 - 2005-9-1 6:58:00
难道在注册表里也能隐藏,还是自动更改了?
有情人终成眷属 - 2005-9-1 8:12:00
来看看,未有样品
蓝米 - 2005-9-1 8:58:00
终于有救了,谢谢版主
IceSword 是什么?在哪找呀!我很菜,不要见笑!
独孤豪侠 - 2005-9-1 9:13:00
我晕呀,坚决和病毒抗争到底!
仅此一仙 - 2005-9-1 9:38:00
楼主,请发个病毒样本给我测试一下:
zplinux@21cn.com
baohe - 2005-9-1 9:40:00
引用:
【蓝米的贴子】终于有救了,谢谢版主
IceSword 是什么?在哪找呀!我很菜,不要见笑!
...........................

不用ICESWORD也可以杀。要点是:先删除那两个注册表项,然后重启系统。灰鸽子创建的文件及文件夹全部可见,且可直接删除。
真命小虫 - 2005-9-1 9:59:00
引用:
【baohe的贴子】
这可能是所谓注册表的“多重入口”现象。我也能找到三对(6个)注册表项(见图1)。但是,删除其中一对(2个)后,其余的就全部消失了(图2)。

图1
...........................


是这样,我重新启动直接在icesword里进行注册表病毒键值删除的,在在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services还有两个病毒键值,删除时没有错误提示。

p.s.版主所说注册表的“多重入口”,是什么?请明示
baohe - 2005-9-1 10:03:00
【回复“真命小虫”的帖子】
你说的对。感染系统后立即重启系统,注册表中会多出一对键。应该删除。
真命小虫 - 2005-9-1 10:26:00
baohe版主,您所说注册表的“多重入口”,是什么?请明示
蓝米 - 2005-9-1 11:07:00
baohe版主,你说得那两个注册项,我只能看找到一个。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:mchInjDrv
找不到这个项。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:virtual
这个我已删除
重启系统后,找不到C:\windows\Internet Explorer\OJSKSU.DAT

用瑞星杀毒,还是发现两个病毒

下面是日志,再帮我看看吧!拜托了

Logfile of HijackThis v1.99.1
Scan saved at 10:58:22, on 2005-9-1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
D:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\AhnLab\Smart Update Utility\AhnSD.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\3721\assistse.exe
D:\PROGRA~1\CA-JIN~1\KILL\realmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Program Files\AhnLab\V3\MonSysNT.exe
C:\Program Files\Philips\LightFrame 3\LightFrameV3.exe
D:\Program Files\AhnLab\V3\V3P3AT.exe
C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
d:\Program Files\CA-Jinchen\KILL\InoRpc.exe
d:\Program Files\CA-Jinchen\KILL\InoRT.exe
d:\Program Files\CA-Jinchen\KILL\InoTask.exe
D:\PROGRA~1\AhnLab\V3\MonSvcNT.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\PROGRA~1\AhnLab\V3\V3IMPro.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Rising\Rav\Rav.exe
D:\happy\down\248783200522382732\HijackThis.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\system32\stdup.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\Program Files\Baidu\Bar\BaiduBar.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - d:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Program Files\Baidu\Bar\BaiduBar.dll
O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\PROGRA~1\YiSou\yisou.dll
O3 - Toolbar: V3 - {9E3849D6-41EF-4B2F-86B7-632EF90758E4} - "D:\Program Files\AhnLab\V3\V3Bar.dll" (file missing)
O3 - Toolbar: (no name) - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - (no file)
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MemoryIdle] C:\Program Files\完美卸载XP\Memory Booster.exe -PowerOn
O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [AHNSD] "C:\Program Files\AhnLab\Smart Update Utility\AhnSD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PigLocalSearch] d:\Program Files\网络猪\PigStart.exe
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [Realtime Monitor] d:\PROGRA~1\CA-JIN~1\KILL\realmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: ET 4.0.lnk = D:\Program Files\ET\eph.exe
O4 - Startup: E话通.lnk = D:\Program Files\EPH\eph.exe
O4 - Global Startup: LightFrame 3.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item:  >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - Extra context menu item: !搜一搜(&S) - res://C:\Program Files\YiSou\yisou.dll/232
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: 豪杰超级解霸V8实时播放 - d:\Herosoft\HeroV8\MPURLGET.HTM
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra button: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\Herosoft\HeroV8\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\Herosoft\HeroV8\STHSDVD.EXE
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - Extra button: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra button: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O11 - Options group: [CDNCLIENT]  中文上网
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D7C300F-0F04-4F10-8DBF-5620D225221C}: NameServer = 211.98.2.4 211.98.4.1
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\system32\catsrvut.dll
O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: KILL RPC Server (InoRPC) - Computer Associates International, Inc. - d:\Program Files\CA-Jinchen\KILL\InoRpc.exe
O23 - Service: KILL Realtime Server (InoRT) - Computer Associates International, Inc. - d:\Program Files\CA-Jinchen\KILL\InoRT.exe
O23 - Service: KILL Job Server (InoTask) - Computer Associates International, Inc. - d:\Program Files\CA-Jinchen\KILL\InoTask.exe
O23 - Service: MonSvcNT - AhnLab, Inc. - D:\PROGRA~1\AhnLab\V3\MonSvcNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: Rising Realtime Monitor Service (RsRavMon) - Unknown owner - C:\Program Files\rising\rav\RavMonD.exe (file missing)

taylor05771 - 2005-9-1 11:52:00
样本发到taylor0577@zj.com 我玩玩
baohe - 2005-9-1 11:54:00
【回复“taylor05771”的帖子】
搜索“蓝米”的帖子,在附件中。
1
查看完整版本: 一只新的“灰鸽子”
© 2000 - 2026 Rising Corp. Ltd.