瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Dropper.Delf.av将“灰鸽子2.0”引入系统

1   1  /  1  页   跳转

Dropper.Delf.av将“灰鸽子2.0”引入系统

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 14:21 | 显示全部 短消息 资料
字号: 1楼

Dropper.Delf.av将“灰鸽子2.0”引入系统

感谢“老肥羊”网友提供Dropper.Delf.av样本love.exe。
用卡巴斯基今天最新病毒库扫love.exe——不报毒。

一、用样本love.exe感染系统后,观察到以下改变:
1、创建木马文件:
在%windows%目录下创建G_Server2.0.exe;
在%system%目录下创建vxeras.sys和cpoiuyk.dll。
2、注册表改动:
(1)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支下添加注册表键GrayPigeonServer2.0,指向C:\windows\G_Server2.0.exe;
(2)在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\分支下添加注册表键VANTI,指向C:\windows\system32\vxeras.sys。

3、HijackThis1.99.1日志中可见:
  O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\windows\G_Server2.0.exe
4、感染后,重启系统,IceSword的进程列表中可见iexplore.exe进程(虽然此时IE浏览器并未打开)。这点与“灰鸽子2005”相同。


二、手工查杀过程:
1、在IceSword的“设置”中勾选“禁止进/线程创建”。
2、结束iexplore.exe、explorer.exe以及其它非必要进程。
3、删除%windows%目录下的G_Server2.0.exe;删除%system%目录下的vxeras.sys和cpoiuyk.dll。
4、清理注册表:
(1)展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:GrayPigeonServer2.0

(2)展开:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除:VANTI


附件是病毒样本,没把握者请勿下载。

附件附件:

下载次数:54
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-26 14:21:53
描述:

最后编辑2005-11-21 17:25:23
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 14:33 | 显示全部 短消息 资料
字号: 2楼

引用:
【天天泡泡的贴子】这过程都有点什么味道了。
...........................

我还特意留心了一下那个.sys。
用样本感染系统后,什么都没动,立刻重启。
结果,那个.sys看来是个摆设!!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 14:40 | 显示全部 短消息 资料
字号: 3楼

引用:
【仅此一仙的贴子】斑竹:能不能把病毒样本提供给我测试一下——
zplinux@21cn.com
...........................


已将样本加入附件中。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 15:01 | 显示全部 短消息 资料
字号: 4楼

引用:
【仅此一仙的贴子】斑竹,提个建议:
1.发帖子不支持HTML源代码直接粘贴么?如果支持就好了,我就可以直接把我个人主页的文章直接发布在论坛上了,详情请看我的帖子——
http://forum.ikaka.com/topic.asp?board=28&artid=7073943
2.附件允许的最大容量为1Mb,有些工具无法提供,能否加大一些?
...........................

这些问题,请向“狮王心”反应。我们这些小版主无权处理这类问题。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-26 16:43 | 显示全部 短消息 资料
字号: 5楼

引用:
【小冰55的贴子】班竹在吗?我刚才中了,可是请问Icesword是什么呀?
                          我的进程中只有EXPLORER.EXE
                          在你们所说的目录中找不到你们所说
                          那几个文件,注册表中也没有,
          但是一开机杀内存时又会杀出这个病毒来,请问我要  怎么办?谢谢
...........................

1、IceSword是个很棒的工具。但是,新手使用时要谨慎。这个工具就在下面这个帖子第3楼的附件中:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
2、木马、病毒文件多位隐藏文件。要找到它们,必须先设置好“文件夹选项”(显示隐藏文件和系统文件)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-27 14:10 | 显示全部 短消息 资料
字号: 6楼


love.exe再次感染XPSP2系统的几幅截图:

创建的文件

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-27 14:10:16
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-27 14:12 | 显示全部 短消息 资料
字号: 7楼

【回复“仅此一仙”的帖子】

注册的系统服务

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-27 14:12:25
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-27 14:13 | 显示全部 短消息 资料
字号: 8楼

【回复“仅此一仙”的帖子】

注册表改动:1

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-27 14:13:22
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-27 14:14 | 显示全部 短消息 资料
字号: 9楼

【回复“仅此一仙”的帖子】
注册表改动:2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-27 14:14:18
描述:
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT