endurer原创
2006-03-21第1版
这个灰鸽子新变种是在
的过程中发现的。
当时用IceSword观察QQ.EXE调用的模块时发现了一个d:\windows\svchosts.exe。由于IceSword远程操作时反应比较慢,所以这里用ProcView导出的进程模块列表来说明:
*您正在使用的是Windows XP (5.1.2600 Service Pack 2)
2006-3-20 22:58:23 进程列表
[System Process]
F:\virus\procview\procview.exe
D:\WINDOWS\system32\ntdll.dll
D:\WINDOWS\system32\kernel32.dll
...(略去无关的模块)
D:\Program Files\Tencent\qq\DShared.dll
D:\WINDOWS\svchostsKey.DLL
...(略去无关的模块)
但设置系统显示所有文件和文件夹后,用WinRAR还是D:\WINDOWS看不到svchostsKey.DLL这个文件,只发现了svchostsKey.log,这个可能是个记录用户在键盘上的按键的文件。
用IceSowrd查看,在D:\WINDOWS中发现了
svchosts.DLL
svchosts.exe
svchostsKey.DLL
三个可疑文件。
{*svchosts.DLL和svchostsKey.DLL瑞星已经可以查杀。
主题:
病毒上报邮件分析结果-流水单号:2179671
发件人:
""
发送时间:2006-03-21 20:20:59
收件人:
""
抄送:
(无)
优先级:
PriCommon
提 示:
信件格式不当,没有附件
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:svchosts.exe
病毒名:Backdoor.Gpigeon.wzo
我们将在较新的18.19.21版本中处理解决,请您届时将您的瑞星软件升级到18.19.21版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
使用2006-03-21 18:49:54的病毒库的Kaspersky还不能查杀这三个文件。
}
估计FindFirst等API函数被灰鸽子hook掉了。
用IceSword把D:\WINDOWS\svchostsKey.DLL模块退出,在WinRAR中还是看不到。
但在IceSword中无法将这三个可疑文件打包备份!IceSword好像不支持文件拖放,如果能调用系统Shell右键菜单菜单就好了。
用IceSword的右键菜单中的Copy to把三个可疑文件复制到f:\virus,但由于没有改变目标文件名,所以虽然文件已经复制到了f:\virus,但当时还是看不到。
到http://endurer.ys168.com下载了“下次启动时自动删除文件”程序,手工把D:\WINDOWS\svchosts.DLL、D:\WINDOWS\svchosts.exe和D:\WINDOWS\svchostsKey.DLL加入待删文件列表,然后“修改所有文件名”,D:\WINDOWS\svchosts.DLL和D:\WINDOWS\svchostsKey.DLL成功地加上了.bak扩展名,而D:\WINDOWS\svchosts.exe则改名失败。
这样在WinRAR中可以看到D:\WINDOWS\svchosts.DLL.bak和D:\WINDOWS\svchostsKey.DLL.bak两个文件,都打包备份了,然后“下次开机时删除”。
这时已经快到凌晨12点了,先让这位网友卸掉江民,安装卡巴斯基扫描。
今天中午继续与网友处理灰鸽子。
用IceSword在D:\WINDOWS中没有发现只发现svchostsKey.log,svchosts.DLL.bak、svchosts.exe和svchostsKey.DLL.bak三个文件,估计是被“下次启动时自动删除文件”程序干掉了。
打开f:\virus,昨晚用IceSword拷进来的svchosts.DLL、svchosts.exe和svchostsKey.DLL三个文件也可以看到了。
再用HijackThis扫描简明log,终于看到了这个灰鸽子的系统服务启动项:
O23 - Service: COM+ System Applications - Unknown owner - D:\WINDOWS\svchosts.exe (file missing)
注意:这个服务名比Windows系统内置的服务
COM+ System Application: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
后尾多了一个英文字母s。
打开注册表编辑器,打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetService,找到并删除COM+ System Applications子键。
