科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道灰鸽子并未退出江湖,新版本采用进程内容替换和进程监视技术

灰鸽子并未退出江湖,新版本采用进程内容替换和进程监视技术

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

继灰鸽子木马宣称退出江湖之后的一段时间内,金山反病毒中心截获的灰鸽子相关病毒,主要是以加壳做免杀为主。

作者:安全中国 2007年11月6日

关键字: 灰鸽子 灰鸽子病毒 灰鸽子专杀 灰鸽子2007 灰鸽子专杀工具

  • 评论
  • 分享微博
  • 分享邮件

  继灰鸽子木马宣称退出江湖之后的一段时间内,金山反病毒中心截获的灰鸽子相关病毒,主要是以加壳做免杀为主。上周末,金山反病毒中新截获一重大变化的灰鸽子新变种,证实灰鸽子并未退出江湖,在经过短暂的静默之后,正在图谋收复失地。

  新版灰鸽子的主要更新有:

  采用进程内容替换技术和双进程互相监视技术,大大提高自我保护的能力;

  进程内容替换是指:病毒启动一个Iexplore.exe 进程,然后把该进程的内容替换为病毒进程的内容。从而具备更深的隐藏性。

  进程互相监视:病毒此次启动了Iexplre.exe和Calc.exe(计算机)两个进程,并都使用了进程内容替换技术,将这两个进程替换为病毒进程。此时内存中存在两个病毒进程,它们会相互守护,当发一其中任意一个被结束时,未被结束的进程会将其重新启动。

  据金山反病毒中心监测的结果,目前该变种感染量还较小,但可能成为AVKiller(AV终结者)之类的木马下载器重点传播的后门程序。也就是说,新版灰鸽子可能会和AV终结者狼狈为奸,对电脑用户造成严重的安全威胁。提醒各位网友,访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具,检查是否遭受“AV终结者”入侵,从而保证杀毒软件处于正常工作状态。

  以下是该病毒的详细分析报告:

  这是一个Windows平台下的黑客病毒,中毒后,病毒会连接到远程的黑客主机,使用户机器完全受控于黑客。黑客可以查看、下载中毒机器上的任意文件,记录用户所有电脑操作,盗取用户QQ号码、网银等信息等。当用户主机连有摄像头时,黑客甚至可以通过摄像头对用户进行远程监视,造成用户数据、隐私泄露,危害极大。

  1、将自身伪装成以下伪系统正常程序:

  %systemdir%ssms.exe

  系统分区:Program FilesCommon FilesMicrosoft SharedMSInfo_ssms.exe

  2、添加如下病毒服务:

  服务名: Windows-UP

  显示名: Windows-UP_2007_71

  服务描述: 系统最新安全补丁自动更新

  服务文件:%systemdir%ssms.exe

  3、尝试删除QQ的键盘驱动文件npkcrypt.sys。

  4、创建两个隐藏进程:%systemdir%calc.exe(系统自带的计算器进程) 和 系统分区:program filesinternet explorerIEXPLORE.EXE(IE进程),将这两个进程的代码替换成自己的病毒代码然后执行,这两个进程会互相守护。

  5、病毒发作时,会主动连接病毒作者的控制端,成功连接病毒作者的控制端后,病毒作者能够实时获取用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程,也能够控制被感染机器关机或重启。

  网友taylor0577也对该变种作了详细分析,请参考:

  http://hi.baidu.com/taylor0577/blog/item/37e79f453325cf3d869473f0.html

  引用内容

  昨晚帮人废了一只鸽子

  昨晚一个网友QQ上说中马了,拿到sreng日志看了一下.服务部分看了一下

  [Windows-UP_2007_71 / Windows-UP][Stopped/Auto Start]

  

  服务描述: 系统最新安全补丁自动更新(骗SB的)

  把 那个服务K掉以后 重启以后涛声依旧.....

  用冰刃看了一下 发现注入 cacle 和IE进程(当然进程是隐藏了的)

  找到那个ssms.exe 脱掉 UPX壳 反汇编一下 发现

  除了老的那些反弹等功能 增加了 随机进程注入(启动/注入两个进程互相守护其中一个是IE 一个是计算器(可变))+autorun.inf+服务守护.

  API HOOK 也变化了,不再是全局性的HOOK.

  只要删除服务 随即就会恢复这个服务(进程原因)

  中止被注入的进程后,立即注入到其他进程.

  比一般的鸽子难处理一点 不过再NB的鸽子也不过几下子就废了.

  QQ 远程操作冰刃慢死,我也没啥兴趣玩,整个最简单的就是用 xdelbox1.1 钩选抑制生成 强制删除那个EXE 重启后 对应的服务K掉 autorun.inf 随手收拾一下 就OK了.

  其实这个远程控制比较少见,当时常规杀毒软件内存监控不报,文件特征监控亦是不报.如果按照定势思维的话,直接K掉服务重启就以为废掉了,实际上是复活了.如果不是冰刃看一下的话,很可能就漏了.由于QQ远程控制启动冰刃会很慢,所以不得已用了xdelbox1.1 ,常规本地操作,冰刃就可以收拾掉的.

  建议在处理掉灰鸽子服务的时候,需要重启再复查一次.

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章