一只极其变态的灰鸽子

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛一只极其变态的灰鸽子

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6

1 / 6 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-05-10 17:17 \| 只看楼主短消息资料字号：小中大 1楼一只极其变态的灰鸽子这只鸽子夹带在一个自称为“WinRAR 3.51 正式版（苹果风格）美化版.exe”的工具软件中。这个WINRAR根本就无法正常完成安装过程。倒是其中的那只鸽子可以完整的植入系统中【见本帖25楼的GIF动画】。之所以说它变态，是因为这只鸽子与“街头篮球”中的那只鸽子及其相似——通过修改iexplore.exe内存，加载一个C:\WINDOWS\Temp\mc210.tmp的驱动，再次修改iexplore.exe内存，再经iexplore.exe插入smss、csrss、winlogon、services、lsass、svchost、spoolsv、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、UmxTray、Umxlu、Ati2evxx、MDM、QCONSVC、explorer、alg、ctfmon、amon、IDMan、HyperSnap等系统进程和正在运行的应用程序进程。有意思的是：它并没有尝试插入SSM进程（说明SSM的自身防护问题已经解决的比较好了）。这只鸽子释放的文件为： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 注册表改动为：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加：windows启动程序。尽管鸽子的作者费尽心机，将这只鸽子做成“多进程多线程插入”，但是，用SSM查杀这只鸽子，操作依然很简单： 1、在“规则”中禁止下列三个文件运行（见图）： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll 2、将SSM设置为“自动加载”。 3、重启系统。至此，这只鸽子已经成了废物。下面的操作属于“扫垃圾”。 4、显示隐藏文件。 5、删除： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 6、打开注册表编辑器，展开： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 删除：“windows启动程序”。至此，这只变态的鸽子就被彻底收拾了。图附件: 文件名:1558472006510172508.jpg 下载次数:310 文件类型:image/pjpeg 文件大小: 上传时间:2006-5-10 17:17:51 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-05-19 18:05:43
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-05-10 17:22 \| 短消息资料字号：小中大 2楼【回复“baohe”的帖子】又看到了baohe大叔的大作了现在好多灰鸽子都插入了系统核心进程具有rootkit的性质了我要下了 886
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

泉水夜猫初生襁褓狮帖子:31 注册: 2005-12-08 来自:	发表于： 2006-05-10 17:41 \| 短消息资料字号：小中大 3楼我现在遇到的问题比较难受，瑞星能查出是灰鸽子，但是查杀不干净，用瑞星诊听器进行扫描也是说60％类似灰鸽子，这个问题大家遇到过没有。
泉水夜猫初生襁褓狮帖子:31 注册: 2005-12-08 来自:

greenfrog 强壮不惑狮帖子:1001 注册: 2005-03-22 来自:	发表于： 2006-05-10 17:51 \| 短消息资料字号：小中大 4楼 bao叔是俺们可爱的宰鸽专业户,嘻嘻...
greenfrog 强壮不惑狮帖子:1001 注册: 2005-03-22 来自:

仙界小帅初生襁褓狮帖子:173 注册: 2006-05-05 来自:	发表于： 2006-05-10 21:09 \| 短消息资料字号：小中大 5楼 ......baohe大哥有了,SSM,如虎添翼...任何木马也跑不了........
仙界小帅初生襁褓狮帖子:173 注册: 2006-05-05 来自:

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2006-05-10 21:18 \| 短消息资料字号：小中大 6楼哈,鸽子使终逃不过老班的法眼~~~~收藏.3Q
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

初生襁褓狮

帖子:200
注册: 2005-10-26
来自:

发表于： 2006-05-10 21:23 | 短消息资料

字号：小中大 7楼

引用:

【不言放弃的贴子】【回复“baohe”的帖子】
又看到了baohe大叔的大作了

现在好多灰鸽子都插入了系统核心进程
具有rootkit的性质了

我要下了
886
...........................

baohe大叔！！！

很老咯！老年人也出来当版主啊！呵呵！

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-05-10 21:27 \| 只看楼主短消息资料字号：小中大 8楼【回复“独孤豪侠”的帖子】这只鸽子，我是开着“卡巴斯基”玩儿的。卡巴没任何反应。倒是SSM频繁报警。进程插入一一做了截图（30多张），图太多，不便一一贴上。故将整个过程改为文字叙述。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-05-10 21:30 \| 短消息资料字号：小中大 9楼果然厉害，插入一两个核心进程的最近见到了几个，可几乎插入所有系统核心进程的，同时还有驱动的，还真是罕见。不过，再厉害，也是一样被解决掉。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-05-10 21:33 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【轩辕小聪的贴子】果然厉害，插入一两个核心进程的最近见到了几个，可几乎插入所有系统核心进程的，同时还有驱动的，还真是罕见。不过，再厉害，也是一样被解决掉。
...........................

UmxCfg、UmxFwHlp、UmxPol、UmxAgent、UmxTray、Umxlu、amon——这些是TPF2005的进程。全部被插，无一幸免。

<<上一主题|下一主题>>

12 3 4 5 6

1 / 6 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-05-10 17:17 \| 只看楼主短消息资料字号：小中大 1楼一只极其变态的灰鸽子这只鸽子夹带在一个自称为“WinRAR 3.51 正式版（苹果风格）美化版.exe”的工具软件中。这个WINRAR根本就无法正常完成安装过程。倒是其中的那只鸽子可以完整的植入系统中【见本帖25楼的GIF动画】。之所以说它变态，是因为这只鸽子与“街头篮球”中的那只鸽子及其相似——通过修改iexplore.exe内存，加载一个C:\WINDOWS\Temp\mc210.tmp的驱动，再次修改iexplore.exe内存，再经iexplore.exe插入smss、csrss、winlogon、services、lsass、svchost、spoolsv、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、UmxTray、Umxlu、Ati2evxx、MDM、QCONSVC、explorer、alg、ctfmon、amon、IDMan、HyperSnap等系统进程和正在运行的应用程序进程。有意思的是：它并没有尝试插入SSM进程（说明SSM的自身防护问题已经解决的比较好了）。这只鸽子释放的文件为： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 注册表改动为：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加：windows启动程序。尽管鸽子的作者费尽心机，将这只鸽子做成“多进程多线程插入”，但是，用SSM查杀这只鸽子，操作依然很简单： 1、在“规则”中禁止下列三个文件运行（见图）： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll 2、将SSM设置为“自动加载”。 3、重启系统。至此，这只鸽子已经成了废物。下面的操作属于“扫垃圾”。 4、显示隐藏文件。 5、删除： C:\WINDOWS\KB905.exe C:\WINDOWS\KB905.dll C:\WINDOWS\KB905_Hook.dll C:\WINDOWS\Temp\mc210.tmp 6、打开注册表编辑器，展开： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 删除：“windows启动程序”。至此，这只变态的鸽子就被彻底收拾了。图附件: 文件名:1558472006510172508.jpg 下载次数:310 文件类型:image/pjpeg 文件大小: 上传时间:2006-5-10 17:17:51 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-05-19 18:05:43
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 一只极其变态的灰鸽子

一只极其变态的灰鸽子

一只极其变态的灰鸽子

附件:

文件名:1558472006510172508.jpg 下载次数:310 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(245096); 上传时间:2006-5-10 17:17:51 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛一只极其变态的灰鸽子

文件名:1558472006510172508.jpg

下载次数:310

文件类型:image/pjpeg

文件大小:

上传时间:2006-5-10 17:17:51

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01