1   1  /  1  页   跳转

一只奇怪的鸽子

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-20 14:21 | 显示全部 短消息 资料
字号: 1楼

一只奇怪的鸽子



dos.exe,卡巴斯基报:Backdoor.Win32.GrayBird.aj。

将dos.exe解压到%system%下运行。
dos.exe在%system%下创建VPort1.1.exe;并试图插入msctf.dll和msctfime.ime。TPF2005及SSM均未监测到注册表改动,HijackThis及Autoruns日志也无异常发现。以dos.exe为关键字,搜索整个注册表——无果。以Vport1.1.exe为关键字,搜索整个注册表——无果。重启系统后发现:dos.exe自动加载运行,但dos.exe试图运行VPort1.1.exe时被SSM阻止(见附图)。此时,dos.exe和VPort1.1.exe可被直接删除。
删除这两个文件后,重启系统——SSM日志恢复正常;%system%下也未见dos.exe和VPort1.1.exe复活。卡巴斯基也不再报毒。

问题:这只鸽子(dos.exe)是通过什么机制加载运行的?

附件附件:

下载次数:429
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-20 14:21:44
描述:
预览信息:EXIF信息



最后编辑2006-01-24 21:00:22
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-20 16:34 | 显示全部 短消息 资料
字号: 2楼

引用:
【taylor05771的贴子】http://free5.ys168.com/?taylor0577
baohe可以 传到 我的网盘里
...........................

dos.exe样本来自“安全12公里”(病毒样本交流)。http://www.12km.com/
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-20 20:37 | 显示全部 短消息 资料
字号: 3楼

引用:
【q3zz的贴子】"并试图插入msctf.dll和msctfime.ime"?这两个文件能插入?HOOK不=插入,
...........................

不是看到SSM日志的“HOOK”才说“插入”。
用dos.exe感染系统时,TPF的Activity Monitor监测报告显示:dos.exe injecting to other proccess。被插对象是msctf.dll和msctfime.ime。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-20 21:01 | 显示全部 短消息 资料
字号: 4楼

引用:
【闪电风暴的贴子】这么厉害的鸽子,卡巴斯基怎么可能查出来?也应该奇怪卡巴斯基
...........................

卡巴斯基怎为什么就不能查出来?只要有人上报样本,卡巴的反应速度还是比较快的。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT