【警示】又一只刁钻的灰鸽子

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【警示】又一只刁钻的灰鸽子

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-03-11 11:52 \| 显示全部短消息资料字号：小中大 1楼【警示】又一只刁钻的灰鸽子瑞星最新病毒库(18.17.42)还不能查杀这只鸽子。卡巴斯基报：Backdoor.Win32.Hupigon.amo。这只鸽子是因一个网友抱怨瑞星而找到的。根据他提供的网址，可以下载一个bb2.rar包，这个rar包中有一个“和美女做最刺激的事(胆小的别看).exe”的可执行文件（见附图）。运行这个文件后，你根本看不到什么“美女”，但会在C盘根目录下见到一个av2文件夹，此文件夹内有1.wmv和50105.exe两个文件。这个50105.exe就是灰鸽子。就在你想看“美女”时，50105.exe已经悄悄地运行了！ 50105.exe运行时有下列动作： 1、创建文件： C:\WINDOWS\system32\sosdrop.sys C:\WINDOWS\Temp\mc27.tmp C:\Documents and Settings\baohelin\Local Settings\Temp\ld.dll C:\WINDOWS\G_Server.exe C:\WINDOWS\G_Server.dll C:\WINDOWS\G_Server_hook.dll C:\WINDOWS\G_ServerKey.dll 2、修改内存/创建远程线程： G_Server.exe修改explorer.exe内存，创建远程线程。并由explorer.exe安装木马驱动C:\WINDOWS\Temp\mc27.tmp。 explorer.exe还修改smss.exe、lsass.exe、winlogon.exe、services.exe、svchost.exe、CCenter.exe、Ravmond.exe、rfwsrv.exe、spoolsv.exe等当前运行的所有程序的内存，并在其中创建远程线程（怎么那么像“街头篮球”？！估计是从街头篮球那里找到的“灵感”吧）。它甚至还企图在powershadow进程中创建线程，被我禁止了。 3、改动注册表【如果HijackThis和autoruns等在鸽子感染系统后运行，你就别想看到这些改动——什么反应都没有。即便将autoruns的后缀改为.com，使其能够运行，也扫不到这些注册表改动。】： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 添加：Vbppgryu（指向C:\WINDOWS\system32\sosdrop.sys） HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 添加：paasweq（指向C:\WINDOWS\system32\sosdrop.sys） HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 添加：Gray_Pigeon_Server（指向C:\WINDOWS\G_Server.exe）好在这只鸽子还是没有注册表监控功能。因此，先用IceSword删除它添加的注册表项，用SSM禁止线程插入（在那些受影响的进程的“规则”中选择“禁止远程数据修改”、“禁止远程代码控制”、“禁止全局钩子”），将SSM设置为自动加载，然后重启系统，删除木马文件，这只鸽子就死翘翘了。附件: 文件名:1558472006311115206.jpg 下载次数:294 文件类型:image/pjpeg 文件大小: 上传时间:2006-3-11 11:52:06 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-03-17 11:14:45
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-11 17:56 | 显示全部 短消息资料

字号：小中大 2楼

引用:

【友好人士的贴子】

3、改动注册表【如果HijackThis和autoruns等在鸽子感染系统后运行，你就别想看到这些改动——什么反应都没有。即便将autoruns的后缀改为.com，使其能够运行，也扫不到这些注册表改动。】：

...........................

哪用什么工具可扫描出来呀？
...........................

还不知道。
我是预先打开SSM，再运行那只鸽子的。所以，全过程都记录下来了（SSM的活动程序对话框及日志）。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-11 17:59 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【友好人士的贴子】版主，如果鸽子已经在powershadow进程中创建了线程后果又如何，杀得了吗？
...........................

没试。
如果真把powershadow也搞掉了，我就得自己动手干掉那只鸽子了。太麻烦了。不想试。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-11 18:21 | 显示全部 短消息资料

字号：小中大 4楼

引用:

【幻影影幻的贴子】那如果系统还原到前一个还原点，可以恢复吗？
...........................

我非常厌恶XP的系统还原（藏污纳垢之处！）。
我早就把所有分区的系统还原关闭了。我用GHOST。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-11 21:05 | 显示全部 短消息资料

字号：小中大 5楼

引用:

【蝈蝈guoguo的贴子】怎样用ssm啊
我的是英文的啊
告诉我中文的在那里下啊

...........................

SSM早就支持简体中文了。估计是你自己不知道怎么设置。看看下面这个帖子吧——
http://forum.ikaka.com/topic.asp?board=28&artid=7781820

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-11 21:24 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【蝈蝈guoguo的贴子】用SSM禁止线程插入（在那些受影响的进程的“规则”中选择“禁止远程数据修改”、“禁止远程代码控制”、“禁止全局钩子”），将SSM设置为自动加载
怎样弄啊？
帮帮我啊
...........................

http://forum.ikaka.com/topic.asp?board=28&artid=7781820
这个帖子5楼的动画就是个例子。举一反三，自己动手。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-11 22:01 | 显示全部 短消息资料

字号：小中大 7楼

引用:

【蝈蝈guoguo的贴子】[img][/img]
和你的不一样啊
有时间把你的发到我邮箱吧！！
先谢了啊
麻烦您了啊
...........................

不用那么费劲。
自己下载一个最新的——
http://www.syssafety.com/files.html

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-11 22:57 | 显示全部 短消息资料

字号：小中大 8楼

引用:

【蝈蝈guoguo的贴子】用SSM禁止线程插入,(在那些受影响的进程的)怎么做啊？
我还是不懂什么是受影响的进程啊
...........................

【G_Server.exe修改explorer.exe内存，创建远程线程。并由explorer.exe安装木马驱动C:\WINDOWS\Temp\mc27.tmp。
explorer.exe还修改smss.exe、lsass.exe、winlogon.exe、services.exe、svchost.exe、CCenter.exe、Ravmond.exe、rfwsrv.exe、spoolsv.exe】

你怎么不看主帖？

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-12 09:55 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【破轮子的贴子】斑竹大人能提供一下样本下载地址吗
...........................

http://219.146.137.230/av/bb2.rar
这只鸽子不好对付。当心。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-03-12 09:56 | 显示全部 短消息资料

字号：小中大 10楼

引用:

【shewmanit的贴子】请问如果用ghost还原，能彻底清楚病毒吗？
感觉那样弄太麻烦了！谢谢！
...........................

如果你的GHOST备份是干净的，用它恢复系统——OK！

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-03-11 11:52 \| 显示全部短消息资料字号：小中大 1楼【警示】又一只刁钻的灰鸽子瑞星最新病毒库(18.17.42)还不能查杀这只鸽子。卡巴斯基报：Backdoor.Win32.Hupigon.amo。这只鸽子是因一个网友抱怨瑞星而找到的。根据他提供的网址，可以下载一个bb2.rar包，这个rar包中有一个“和美女做最刺激的事(胆小的别看).exe”的可执行文件（见附图）。运行这个文件后，你根本看不到什么“美女”，但会在C盘根目录下见到一个av2文件夹，此文件夹内有1.wmv和50105.exe两个文件。这个50105.exe就是灰鸽子。就在你想看“美女”时，50105.exe已经悄悄地运行了！ 50105.exe运行时有下列动作： 1、创建文件： C:\WINDOWS\system32\sosdrop.sys C:\WINDOWS\Temp\mc27.tmp C:\Documents and Settings\baohelin\Local Settings\Temp\ld.dll C:\WINDOWS\G_Server.exe C:\WINDOWS\G_Server.dll C:\WINDOWS\G_Server_hook.dll C:\WINDOWS\G_ServerKey.dll 2、修改内存/创建远程线程： G_Server.exe修改explorer.exe内存，创建远程线程。并由explorer.exe安装木马驱动C:\WINDOWS\Temp\mc27.tmp。 explorer.exe还修改smss.exe、lsass.exe、winlogon.exe、services.exe、svchost.exe、CCenter.exe、Ravmond.exe、rfwsrv.exe、spoolsv.exe等当前运行的所有程序的内存，并在其中创建远程线程（怎么那么像“街头篮球”？！估计是从街头篮球那里找到的“灵感”吧）。它甚至还企图在powershadow进程中创建线程，被我禁止了。 3、改动注册表【如果HijackThis和autoruns等在鸽子感染系统后运行，你就别想看到这些改动——什么反应都没有。即便将autoruns的后缀改为.com，使其能够运行，也扫不到这些注册表改动。】： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 添加：Vbppgryu（指向C:\WINDOWS\system32\sosdrop.sys） HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 添加：paasweq（指向C:\WINDOWS\system32\sosdrop.sys） HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 添加：Gray_Pigeon_Server（指向C:\WINDOWS\G_Server.exe）好在这只鸽子还是没有注册表监控功能。因此，先用IceSword删除它添加的注册表项，用SSM禁止线程插入（在那些受影响的进程的“规则”中选择“禁止远程数据修改”、“禁止远程代码控制”、“禁止全局钩子”），将SSM设置为自动加载，然后重启系统，删除木马文件，这只鸽子就死翘翘了。附件: 文件名:1558472006311115206.jpg 下载次数:294 文件类型:image/pjpeg 文件大小: 上传时间:2006-3-11 11:52:06 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-03-17 11:14:45
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【警示】又一只刁钻的灰鸽子

【警示】又一只刁钻的灰鸽子

【警示】又一只刁钻的灰鸽子

附件:

文件名:1558472006311115206.jpg 下载次数:294 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(26320); 上传时间:2006-3-11 11:52:06 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【警示】又一只刁钻的灰鸽子

文件名:1558472006311115206.jpg

下载次数:294

文件类型:image/pjpeg

文件大小:

上传时间:2006-3-11 11:52:06

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01