【原创】灰鸽子出现变种 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】灰鸽子出现变种

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【原创】灰鸽子出现变种

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:41 \| 只看楼主短消息资料字号：小中大 1楼【原创】灰鸽子出现变种昨天我下了本电子书籍回来看，解压出来有两个文件，开始我以为看这本书要什么插件的，但是没发现病毒，于是我运行了fei.exe程序，过了大概三秒种，fei.exe突然消失，当时我有一种直觉，“fei.exe”这个文件有问题，我先是升级本地瑞星，对系统进行全面杀毒，没发现病毒，接着用瑞星在线查毒扫了一遍电脑，也没发现病毒，昨天也比较的忙，既然没发现问题，就暂且不管它，今天我突然玩起了江民杀毒软件，不过不是安装版的，是移动版本的江民，扫描系统是偶然的，我也不是因为系统有什么问题而专门检查系统，就在扫描到一部分的时候，忽然发现有病毒，看名称是 Backdoor/Huigezi.ntj，明显是灰鸽子，靠，我什么时候中灰鸽子了，想想这几天玩过什么黑客程序没有，我很快想起昨天的那个fei.exe程序运行后突然消失，凭感觉，应该是这个程序的原因，正好我下午有计算机课，于是我把这个文件带到学校机房，做了全面的测试，为了得到详细的过程，我重启了几次电脑，所用的时间用得久了点，大概是一个小时，电脑装有还原精灵，这个就不用担心啦。电子书经过打包，解压出来有两个文件(图一)，运行“fei.exe”文件，过了三秒钟，“fei.exe”消失，只剩下《爱了就不会让你跑》这个书籍文件。附件: 文件名:7696432006118193303.jpg 下载次数:246 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:41:36 描述: 预览信息:EXIF信息 Y Resolution : 96/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 3478 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 449 PixYDim : 133 Orientation : 1 拍摄日期 : 2006:11:08 18:38:05 X Resolution : 96/1 2006-11-08 20:26:16
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	分享到：

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:43 \| 只看楼主短消息资料字号：小中大 2楼电脑中毒，使用江民移动版杀毒，在查杀第一个mmdxdiag.exe时出现的情况(图二)。附件: 文件名:7696432006118193510.jpg 下载次数:260 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:43:43 描述: 预览信息:EXIF信息 Y Resolution : 96/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 4532 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 713 PixYDim : 350 Orientation : 1 拍摄日期 : 2006:11:08 18:40:05 X Resolution : 96/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:45 \| 只看楼主短消息资料字号：小中大 3楼还是江民强，竟然把第一个杀掉了。接着干掉了第二个mmdxdiag.exe(图三)。附件: 文件名:7696432006118193654.jpg 下载次数:332 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:45:27 描述: 预览信息:EXIF信息 Y Resolution : 96/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 4057 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 716 PixYDim : 351 Orientation : 1 拍摄日期 : 2006:11:08 19:20:47 X Resolution : 96/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:46 \| 只看楼主短消息资料字号：小中大 4楼经过我做了三次实验，得到一点，其实fei.exe这个病毒释放了两个mmdxdiag.exe，有一个不知道是加载了系统哪个进程，还是哪个服务，在C:\WINNT目录下只发现一个mmdxdiag.exe，所以在正常模式下对mmdxdiag.exe手动删除是删不掉的(图四)。附件: 文件名:7696432006118193741.jpg 下载次数:328 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:46:14 描述: 预览信息:EXIF信息 Y Resolution : 72/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 7530 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 522 PixYDim : 409 Orientation : 1 拍摄日期 : 2006:11:08 18:44:44 X Resolution : 72/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:46 \| 只看楼主短消息资料字号：小中大 5楼不过，江民杀掉第一个后，我不等杀软杀第二个，手动删掉mmdxdiag.exe，发现可以删掉，然后等江民扫描完毕，因为我手动删掉了，所以江民才杀出一个(图五)。附件: 文件名:7696432006118193826.jpg 下载次数:265 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:46:59 描述: 预览信息:EXIF信息 Y Resolution : 96/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 3949 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 717 PixYDim : 350 Orientation : 1 拍摄日期 : 2006:11:08 18:46:22 X Resolution : 96/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:47 \| 只看楼主短消息资料字号：小中大 6楼一个新的病毒就这样产生了(图六)。附件: 文件名:7696432006118193918.jpg 下载次数:227 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:47:51 描述: 预览信息:EXIF信息 Y Resolution : 96/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 5264 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 345 PixYDim : 182 Orientation : 1 拍摄日期 : 2006:11:08 18:53:08 X Resolution : 96/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:48 \| 只看楼主短消息资料字号：小中大 7楼查看“mmdxdiag.exe”的属性，一般情况下是看不到的，要把电脑里面的内容全部显示出来(图6)。附件: 文件名:7696432006118194115.jpg 下载次数:245 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:48:33 描述: 预览信息:EXIF信息 Y Resolution : 96/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 5761 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 370 PixYDim : 487 Orientation : 1 拍摄日期 : 2006:11:08 19:26:02 X Resolution : 96/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:51 \| 只看楼主短消息资料字号：小中大 8楼由于机房是断外网的，所以我把“mmdxdiag.exe”病毒文件(此文件属性是隐藏且受保护，我用attrib命令已经去掉它的所有属性，使他在正常情况下可以看到)打包带到自己的电脑里面进行安全检查(图七)，不过用瑞星检查，无论是本地还是在线病毒库，都检查不出来。附件: 文件名:7696432006118194246.jpg 下载次数:243 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:51:19 描述: 预览信息:EXIF信息 Y Resolution : 72/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 5090 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 773 PixYDim : 456 Orientation : 1 拍摄日期 : 2006:11:08 19:03:29 X Resolution : 72/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:	发表于： 2006-11-08 19:52 \| 只看楼主短消息资料字号：小中大 9楼我把在线江民的目录文件拷到移动版的江民目录下覆盖掉一些文件，还删掉了与移动版江民位于同一目录下的两个文件，破解移动版江民病毒库不能升级的限制(日文，繁体全部变简体中文)，从这点可以看出，在C:\WINNT(WIN 2000系统的是WINNT，XP系统的是WINDOWS)下的“mmdxdiag.exe”文件是由“fei.exe”这个文件释放出来，它没有把病毒文件释放到system32目录下，而是WINNT下，“fei.exe”本身就是病毒(图八)，把自己释放到系统目录下，改了个名字，“fei.exe”为了不让用户发现，竟然自杀了，够狡猾。附件: 文件名:7696432006118194339.jpg 下载次数:398 文件类型:image/pjpeg 文件大小: 上传时间:2006-11-8 19:52:13 描述: 预览信息:EXIF信息 Y Resolution : 72/1 Resolution Unit : 2 Thumbnail Compression : 6 Software Used : Adobe Photoshop CS Windows JPEG InterLength : 7359 ColorSpace : 1 Thumbnail Data : 255 JPEG InterFormat : 302 Thumbnail ResolutionUnit : 2 Thumbnail ResolutionY : 72/1 Thumbnail ResolutionX : 72/1 PixXDim : 772 PixYDim : 761 Orientation : 1 拍摄日期 : 2006:11:08 19:08:35 X Resolution : 72/1
telnet 快乐黄口狮帖子:284 注册: 2006-10-18 来自:

建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:	发表于： 2006-11-08 20:00 \| 短消息资料字号：小中大 10楼不错！解释得很详细！
建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT