帮同学杀毒。顺便留了个样本 bbs.ikaka.com

sytu_sj1988 - 2009-5-10 17:05:00

帮同学杀毒时遇到可疑文件，顺便收了。SRENG还必须要加 /safedesktop 不然直接被删，也不知道是不是这个文件的作用。
当然病毒已经成功杀掉了。
Viruscan.org扫的结果如下，可惜瑞星竟然查不出来，要加油啊

不知道要不要加权限，反正我是加了一个。

VirSCAN.org Scanned Report :
Scanned time : 2009/05/10 16:51:38 (CST)
Scanner results: 45%的杀软(17/38)报告发现病毒
File Name : kso.exe
File Size : 323848 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 87de6367bfb1591c73fc84e7203bd6fd
SHA1 : 93536de8161a7dd6ba9a0e123209b427b6c7a0f1
Online report : http://virscan.org/report/427d728e1e79a0b3b6a061765b5f4477.html
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.0.0.32 20090510154251 2009-05-10 11.27 Backdoor.Win32.Hupigon!IK
安博士V3 2009.05.10.00 2009.05.10 2009-05-10 2.44 -
AntiVir 8.2.0.166 7.1.3.178 2009-05-08 0.51 BDS/Hupigon.bhi
安天 2.0.18 20090510.2386484 2009-05-10 0.12 -
Arcavir 2009 200905091156 2009-05-09 0.04 -
Authentium 5.1.1 200905091542 2009-05-09 1.11 W32/Hupigon.J.gen!Eldorado (Possible)
AVAST! 4.7.4 090505-0 2009-05-05 0.01 Win32:Hupigon-YY [Trj]
AVG 8.5.286 270.12.23/2106 2009-05-09 5.03 -
BitDefender 7.81008.2902578 7.25309 2009-05-10 2.81 GenPack:Backdoor.Hupigon.AYUZ
CA (VET) 9.0.0.143 31.6.6496 2009-05-09 23.10 -
ClamAV 0.95 9349 2009-05-09 0.05 Trojan.Packed-25
Comodo 3.8 1157 2009-05-08 3.01 -
CP Secure 1.1.0.715 2009.05.10 2009-05-10 8.91 BackDoor.W32.Hupigon.abe
Dr.Web 4.44.0.9170 2009.05.09 2009-05-09 4.63 -
F-Prot 4.4.4.56 20090509 2009-05-09 1.11 W32/Hupigon.J.gen!Eldorado (generic, not disinfectable)
F-Secure 5.51.6100 2009.05.09.02 2009-05-09 0.07 -
飞塔 2.81-3.117 10.373 2009-05-10 8.00 W32/Hupigon.3CA9!tr.bdr
GData 19.5130/19.325 20090510 2009-05-10 7.57 Backdoor.Win32.Hupigon.gugy [Engine:A]
ViRobot 20090509 2009.05.09 2009-05-09 1.69 -
Ikarus T3.1.01.49 2009.05.10.72693 2009-05-10 2.85 Backdoor.Win32.Hupigon
江民杀毒 11.0.706 2009.05.10 2009-05-10 3.62 -
卡巴斯基 5.5.10 2009.05.10 2009-05-10 0.05 -
金山毒霸 2009.2.5.15 2009.5.9.21 2009-05-09 7.19 -
迈克菲 5.3.00 5610 2009-05-09 2.88 BackDoor-AWQ!hv.c
Microsoft 1.4602 2009.05.10 2009-05-10 27.42 Backdoor:Win32/Hupigon.gen!B
mks_vir 2.01 2009.05.10 2009-05-10 2.82 -
Norman 6.01.05 6.01.00 2009-05-08 4.01 W32/Suspicious_N.gen
熊猫卫士 9.05.01 2009.05.09 2009-05-09 22.86 -
趋势科技 8.700-1004 6.120.25 2009-05-09 0.03 Possible_HPGN-2
Quick Heal 10.00 2009.05.09 2009-05-09 6.91 -
瑞星 20.0 21.28.52.00 2009-05-09 4.25 -
Sophos 2.86.0 4.41 2009-05-10 2.30 -
Sunbelt 5128 5128 2009-05-08 27.63 -
赛门铁克 1.3.0.24 20090509.003 2009-05-09 33.13 -
nProtect 20090510.01 3595619 2009-05-10 40.13 -
The Hacker 6.3.4.1 v00324 2009-05-09 1.82 -
VBA32 3.12.10.4 20090509.1027 2009-05-09 3.49 Backdoor.Win32.Hupigon.aewa
VirusBuster 4.5.11.10 10.105.21/1344558 2009-05-09 1.75 Packed/NSPack

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件: kso.rar

smallyou93 - 2009-5-10 17:26:00

释放一个文件：
%SystemRoot%\uninstal.bat

引用:

:try
del "C:\Documents and Settings\smallyou93\桌面\kso.exe"
if exist "C:\Documents and Settings\smallyou93\桌面\kso.exe" goto try
del %0
exIT

安装了一个服务..
[.Net CTR / Microsoft .Net Framewook COM+][Stopped/Auto Start]
<C:\Program Files\kso.exe><N/A>

修改svchost内存....

引用:

父级进程：
   路径： C:\Program Files\kso.exe
   PID: 2504
   信息：  (ＦorＸuān免杀)
子级进程：
   路径： C:\WINDOWS\system32\svchost.exe
   信息： Generic Host Process for Win32 Services (Microsoft Corporation)
   命令行：C:\WINDOWS\system32\svchost.exe

进程：
   路径： C:\Program Files\kso.exe
   PID: 2504
   信息：  (ＦorＸuān免杀)
对象：
   路径： C:\WINDOWS\system32\svchost.exe
   信息： Generic Host Process for Win32 Services (Microsoft Corporation)

被修改的svhcost链接网络

附件: 您所在的用户组无法下载或查看附件

sytu_sj1988 - 2009-5-10 18:16:00

晕了，我杀毒时没这样的症状，报告里也没有与这个相关的东西。
难道是还没有激活就直接被我给带走了？

RisingCSC - 2009-5-11 10:41:00

文件已下载分析，感谢您的支持。

RisingCSC - 2009-5-12 16:38:00

文件名：kso.exe

病毒名：Backdoor.Win32.Gpigeon2008.cbv

您所上报的病毒文件将在瑞星2009的21.29.12版本中处理解
决，如遇特殊情况可能会推后几个版本。

爱乐维 - 2009-5-12 22:05:00

MS加载服务项修改动态指令库的一般都是后门程序。。。:kaka5:

瑞星卡卡安全论坛