endurer

2005.11.24 第3版 补充卡巴斯基关于三个灰鸽子文件的反应。

2005.11.19 第2版 补充瑞星关于可疑服务Cryptographic Servicesini的文件C:/WINDOWS/system.exe的回复。

2005.11.16 第1

今晚到一位朋友家玩,用他的电脑上网。打开QQ前,我习惯性的先用杀毒软件扫描内存和Windows系统文件夹(这是个好习惯^_^)。这台电脑使用Windows XP SP1,装有瑞星,用的是我送的瑞星年卡。结果内存发现灰鸽子和其他一些病毒!如下图所示(为了获取病毒样本,我把瑞星的设置里的”发现病毒时“设为”忽略“)。



2005-11-16 21:9:40 瑞星杀毒助手


Windows XP (5.1.2600 Service Pack 1)


文件名 病毒名


csrss.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


winlogon.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


services.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


lsass.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


svchost.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


svchost.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


svchost.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


svchost.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


spoolsv.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


alg.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


IEXPLORE.EXE>>C:/WINDOWS/system.DLL Backdoor.GPigeon


IEXPLORE.EXE>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


CCENTER.EXE>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


svchost.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


Explorer.EXE>>C:/WINDOWS/Explorer.EXE Worm.Mail.Fanbot


Explorer.EXE>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


igfxtray.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


hkcmd.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


SOUNDMAN.EXE>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


realsched.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


RAVTIMER.EXE>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


ctfmon.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


SwitchNet.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


GreenBrowser.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


WinRAR.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


notepad.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


Rav.exe>>C:/WINDOWS/system_HOOk.DLL Backdoor.Gpigeon.tfs


C:/WINDOWS/system32/d11host.exe Trojan.DL.98link


C:/WINDOWS/system32/GLIEDown.dll.bak Backdoor.Agent.aen


C:/WINDOWS/system.DLL Backdoor.GPigeon


C:/WINDOWS/system_HOOk.DLL Backdoor.GPigeon.xb


这位朋友听别人说瑞星实时监控占用系统资源多,所以安装瑞星时没有安装实时监控模块。再检查瑞星的详细设置里的“定制任务”里的“开机扫描”项,“系统启动时扫描引导区”和“系统启动时扫描系统内存”都没有选定。朋友说是觉得瑞星启动速度慢,所以没有使用这一项。

在使用windows 2000/XP的电脑中,灰鸽子一般会有一个系统服务启动项。

使用HijackThis扫描(您可以到​​http://endurer.ys168.com​​的tools/系统分析和修复里下载HijackThis ),发现了一个可疑的系统服务项(瑞星居然没报?):


O23 - Service: Cryptographic Servicesini - Unknown owner - C:/WINDOWS/system.exe


*2005.11.19 第2版 补充:瑞星关于可疑服务Cryptographic Servicesini的文件C:/WINDOS/SYSTEM.EXE的回复:

发件人:

​​send@rising.net.cn​​<script language="JavaScript" type="text/javascript"> </script>

发送时间:2005-11-19 11:49:35

尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:system.exe
    :)病毒名:Backdoor.Gpigeon.tkf

    我们将在较新的17.54.0版本中处理解决,请您届时将您的瑞星软件升级到17.54.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。

把它停止并禁用了。具体操作可参考:​​【系统修复系列之】如何 停止系统服务​

开始找病毒样本。先设置系统显示所有文件和文件夹,不隐藏已知文件的扩展名。具体操作可参考:​​【系统修复系列之】如何 显示所有的文件和文件夹​

把病毒样本打包备份

不过


Explorer.EXE>>C:/WINDOWS/Explorer.EXE Worm.Mail.Fanbot


中的病毒文件就是Windows的壳----C:/WINDOWS/Explorer.EXE,怎么会是病毒,奇怪。

手工删除病毒。除了C:/WINDOWS/system_HOOk.DLL以外,都可以直接删除。

要删除C:/WINDOWS/system_HOOk.DLL,我们可以尝试KillBox等工具,不过我用的是“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。(它们都可以到​​http://endurer.ys168.com​​ 下载)。

清空IE临时文件夹。具体操作可参考:​​【系统修复系列之】如何 清空IE临时文件夹 ​

关闭系统还原功能。具体操作可参考:​​【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原​

重新启动计算机,再用瑞星扫描系统,没有再发现病毒。

*2005.11.24 第3版 补充:卡巴斯基关于三个灰鸽子文件的反应:

system.exe 为 Backdoor.Win32.Hupigon.nz

system.dll、system_dll.dll 为 Backdoor.Win32.Hupigon.lq