endurer 原创
*2005.11.24 第3版 补充:卡巴斯基关于三个灰鸽子文件的反应:
system.exe 报为 Backdoor.Win32.Hupigon.nz
system.dll、system_dll.dll 报为 Backdoor.Win32.Hupigon.lq
2005.11.19 第2版 补充瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOWS\system.exe的回复。
2005.11.16 第1版
今晚到一位朋友家玩,用他的电脑上网。打开QQ前,我习惯性的先用杀毒软件扫描内存和Windows系统文件夹(这是个好习惯^_^)。这台电脑使用Windows XP SP1,装有瑞星,用的是我送的瑞星年卡。结果内存发现灰鸽子和其他一些病毒!如下图所示(为了获取病毒样本,我把瑞星的设置里的”发现病毒时“设为”忽略“)。
2005-11-16 21:9:40 瑞星杀毒助手
Windows XP (5.1.2600 Service Pack 1)
文件名 病毒名
csrss.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
winlogon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
services.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
lsass.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
spoolsv.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
alg.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
IEXPLORE.EXE>>C:\WINDOWS\system.DLL Backdoor.GPigeon
IEXPLORE.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
CCENTER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
svchost.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot
Explorer.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
igfxtray.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
hkcmd.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
SOUNDMAN.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
realsched.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
RAVTIMER.EXE>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
ctfmon.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
SwitchNet.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
GreenBrowser.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
WinRAR.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
notepad.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
Rav.exe>>C:\WINDOWS\system_HOOk.DLL Backdoor.Gpigeon.tfs
C:\WINDOWS\system32\d11host.exe Trojan.DL.98link
C:\WINDOWS\system32\GLIEDown.dll.bak Backdoor.Agent.aen
C:\WINDOWS\system.DLL Backdoor.GPigeon
C:\WINDOWS\system_HOOk.DLL Backdoor.GPigeon.xb
——————————————————————————–
这位朋友听别人说瑞星实时监控占用系统资源多,所以安装瑞星时没有安装实时监控模块。再检查瑞星的详细设置里的“定制任务”里的“开机扫描”项,“系统启动时扫描引导区”和“系统启动时扫描系统内存”都没有选定。朋友说是觉得瑞星启动速度慢,所以没有使用这一项。(暴汗!)
在使用windows 2000/XP的电脑中,灰鸽子一般会有一个系统服务启动项。
使用HijackThis扫描(您可以到http://endurer.ys168.com的tools\系统分析和修复里下载HijackThis ),发现了一个可疑的系统服务项(瑞星居然没报?):
——————————————————————————–
O23 – Service: Cryptographic Servicesini – Unknown owner – C:\WINDOWS\system.exe
——————————————————————————–
*2005.11.19 第2版 补充:瑞星关于可疑服务Cryptographic Servicesini的文件C:\WINDOS\SYSTEM.EXE的回复:
发件人: send@rising.net.cn 发送时间:2005-11-19 11:49:35
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:system.exe
:)病毒名:Backdoor.Gpigeon.tkf
我们将在较新的17.54.0版本中处理解决,请您届时将您的瑞星软件升级到17.54.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
把这项服务停止并禁用(在本例中,这一步不是必须的,但推荐做这一步)。具体操作可参考:【系统修复系列之】如何 停止系统服务http://endurer.bokee.com/2578501.html(http://endurer.bokee.com/2578501.html)
开始找病毒样本。先设置系统显示所有文件和文件夹,不隐藏已知文件的扩展名。具体操作可参考:【系统修复系列之】如何 显示所有的文件和文件夹http://endurer.bokee.com/2590659.html(http://endurer.bokee.com/2590659.html)
把病毒样本打包备份
不过
——————————————————————————–
Explorer.EXE>>C:\WINDOWS\Explorer.EXE Worm.Mail.Fanbot
——————————————————————————–
中报的病毒文件就是Windows的壳—-C:\WINDOWS\Explorer.EXE,怎么会是病毒,奇怪。
瑞星病毒档案中Worm.Mail.Fanbot的信息:
http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=112927
病毒分类 WINDOWS下的PE病毒 病毒名称 Worm.Mail.Fanbot
别 名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作 瑞 星 版 本 号 17.49
手工删除病毒。除了C:\WINDOWS\system_HOOk.DLL以外,都可以直接删除。
要删除C:\WINDOWS\system_HOOk.DLL,我们可以尝试KillBox等工具,不过我用的是“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。(它们都可以到http://endurer.ys168.com 下载)。
清空IE临时文件夹。具体操作可参考:【系统修复系列之】如何 清空IE临时文件夹http://endurer.bokee.com/2722966.html(http://endurer.bokee.com/2722966.html)
关闭系统还原功能。具体操作可参考:【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原http://endurer.bokee.com/2575822.html(http://endurer.bokee.com/2575822.html)
重新启动计算机,再用瑞星扫描系统,没有再发现病毒。
BTW:瑞星今天发布了“灰鸽子”病毒专杀工具,大家不妨试试.
http://it.rising.com.cn/service/technology/Ravgpk_Download.htm
当前位置:瑞星专用杀毒工具下载 >> “灰鸽子”病毒专杀工具
“灰鸽子”病毒专杀工具
工具名称:ravgpk.exe
版 本 号:1.0
软件大小:600 KB
应用平台:Windows平台
发布时间:2005-11-17
发布公司:北京瑞星科技股份有限公司
软件说明
2005年11月17日正式发布 “灰鸽子”病毒专用提取清除工具1.0版。
针对灰鸽子系列病毒进行提取和清除的工具,能够帮助用户查找灰鸽子病毒的文件,并进行清除。同时能够提取目前无法清除的灰鸽子病毒样本文件,用户可以把不能清除的样本发送给我们进行处理。
重点提示:病毒清除过程完成后若出现提示“您的计算机系统中已经感染了“灰鸽子”病毒,为了安全、彻底地清除此病毒,建议您重新启动计算机后再用此专杀工具查杀一次!”,请您根据此提示稍后重新启动计算机再次查杀病毒,并请点击提示框中的“确定”按钮。
病毒简介
后门病毒“灰鸽子”
delphi编写
主要特点: 1、可以穿越防火墙远程控制用户机器。2、使用madCodeHook开发包接管若干API,隐藏病毒文件,给用户杀毒造成障碍。