瑞星卡卡安全论坛

dos.exe，卡巴斯基报：Backdoor.Win32.GrayBird.aj。

将dos.exe解压到%system%下运行。
dos.exe在%system%下创建VPort1.1.exe；并试图插入msctf.dll和msctfime.ime。TPF2005及SSM均未监测到注册表改动，HijackThis及Autoruns日志也无异常发现。以dos.exe为关键字，搜索整个注册表——无果。以Vport1.1.exe为关键字，搜索整个注册表——无果。重启系统后发现：dos.exe自动加载运行，但dos.exe试图运行VPort1.1.exe时被SSM阻止（见附图）。此时，dos.exe和VPort1.1.exe可被直接删除。
删除这两个文件后，重启系统——SSM日志恢复正常；%system%下也未见dos.exe和VPort1.1.exe复活。卡巴斯基也不再报毒。

问题：这只鸽子（dos.exe）是通过什么机制加载运行的？

附件: 1558472006120142144.jpg

这只鸽子 是不是 通过 boot 进行加载???
未见样本 没法判断

这只鸽子 是不是 通过 boot 进行加载???
未见样本 没法判断

也觉得是这样不过改BOOT文件SSM会报的吧

http://free5.ys168.com/?taylor0577
baohe可以 传到 我的网盘里

引用:

【taylor05771的贴子】http://free5.ys168.com/?taylor0577 baohe可以 传到 我的网盘里 ...........................

dos.exe样本来自“安全12公里”（病毒样本交流）。http://www.12km.com/

寒，防不胜防。

又是可恶的鸽子。

恐怖~

ke wu

这么厉害的鸽子,卡巴斯基怎么可能查出来?也应该奇怪卡巴斯基

希望网警不久就说出"规则包可防御"的话来,呵呵

"并试图插入msctf.dll和msctfime.ime"?这两个文件能插入?HOOK不=插入,钩msctf.dll是为了截取密码,钩msctfime.ime可能是又有人发现了微软输入法的BUG.拦截写文件的API看看它对输入法做了什么,可能是和输入法一起启动了.

引用:

【q3zz的贴子】"并试图插入msctf.dll和msctfime.ime"?这两个文件能插入?HOOK不=插入, ...........................

不是看到SSM日志的“HOOK”才说“插入”。
用dos.exe感染系统时，TPF的Activity Monitor监测报告显示：dos.exe injecting to other proccess。被插对象是msctf.dll和msctfime.ime。

引用:

【闪电风暴的贴子】这么厉害的鸽子,卡巴斯基怎么可能查出来?也应该奇怪卡巴斯基 ...........................

卡巴斯基怎为什么就不能查出来？只要有人上报样本，卡巴的反应速度还是比较快的。

高手说话，我一旁学习～～～

还是跟着学点皮毛吧！

鸽子真讨厌

那是理解的问题,应该理解为远程线程注射,而不是对文件插入.要实现跨进程HOOK都是要有这一步的.

【回复“baohe”的帖子】
那么在不借助其它工具的前提下,卡巴斯基能清除它吗?

估计清不了的。。

怕怕``不敢玩这东西

斑竹试试在msconfig诊断模式下（尽加载基本设备和服务）鸽子是否还启动
另外，据说鸽子网站快要开了，2006似乎也要出，呵呵，大家要小心喽！

了解一下

是不是这个东西？

内网端口映射工具 VPort1.1
VPort2005_In_Lan

可能是吧

路过的.............................

学习学习

看到鸽子立刻煮熟了吃掉```

哪个高手开发个比较牛B的鸽子专杀吧~~~~就叫猎手或者屠户~~呵呵

病毒泛滥