Board logo

标题: 【贴图】看看这是什么病毒? [打印本页]
作者: 易拉罐     时间: 2005-11-23 14:40    标题: 【贴图】看看这是什么病毒?

昨天一朋友说他公司机器上网速度变慢了,没有下载东西网络指示器老亮着,用诺顿查毒没发什么病毒,让我帮忙看看

今天跑过去看了一下,发现机器的确有些异常,我把能关的程序都退出后,打开任务管理器的进程列表,没发现可疑的进程,难道进程隐藏了?

之后,我打开管理工具中的服务,第一个服务就引起我的注意,名称显示是空白!没有名称?!什么服务不取名称啊?双击这个服务看它的属性,可执行文件的路径是"C:\WINNT\G_Server2.0.exe",见图:
附件 1: service.JPG (2005-11-23 14:40, 65.07 K,下载次数: 1066)


作者: 易拉罐     时间: 2005-11-23 14:42    标题: 回复: 【贴图】看看这是什么病毒?

呵呵,看名字很象鸽子,而且是一只新鲜的鸽子:)进到winnt目录下,打开显示隐藏文件的选项,找到“G_Server2.0.exe”,点删除,晕晕,不让删除!见图:
附件 1: no_del.JPG (2005-11-23 14:42, 66.42 K,下载次数: 86)


作者: 易拉罐     时间: 2005-11-23 14:44    标题: 回复: 【贴图】看看这是什么病毒?

不让删除那肯定是有进程在保护,再打任务管理器,仔细查看才发现,有一个IExplorer.exe进程在跑,可现在没打开IE呀,手工结束这个进程,倒~~也不让结束,见图:
附件 1: task.JPG (2005-11-23 14:44, 45.01 K,下载次数: 75)


作者: 易拉罐     时间: 2005-11-23 14:46    标题: 回复: 【贴图】看看这是什么病毒?

高手看到这儿,可能会想用手工禁用它的服务或在注册表里删除它的服务,再进到安全模式进行删除,没错,可我前几天在自己机器上装了微点,对微点防毒理念很感兴趣,正好装一下微点试试,呵呵

安装一路回车,重启后,微点弹出msn(绿色版)的网络访问框,点允许后就没再弹框了,咦?微点没报?我打开任务管理器,这时IE进程没有启来,再去winnt目录下,“G_Server2.0.exe”文件没了,奇怪,这个程序会自我删除?

后来我在微点的木马日志中找到了原因,原来这个东东已经被微点干掉了,删除到隔离区,见图:(哈哈,做好事咋不留名呢?活雷锋啊~!)
附件 1: troj.JPG (2005-11-23 14:46, 25.63 K,下载次数: 92)


作者: 易拉罐     时间: 2005-11-23 14:47    标题: 回复: 【贴图】看看这是什么病毒?

虽然这个东东可以手工删除,但微点能够自动删除,这点不错,省得普通用户要到处求助了,不过有一点点遗憾,就是G_Server2.0.exe遗留下的注册表服务项没有清除干净,呵呵:)见图:
附件 1: reg.JPG (2005-11-23 14:47, 46.03 K,下载次数: 107)


作者: yinga     时间: 2005-11-23 14:58    标题: 回复: 【贴图】看看这是什么病毒?

不容易呀!楼主辛苦了。
作者: 含笑半步颠     时间: 2005-11-23 14:59    标题: 回复: 【贴图】看看这是什么病毒?

好帖子诶,分析的不错。其实病毒主程序都删除,注册表项就没啥意义了,当然清除干净最好啦
作者: Legend     时间: 2005-11-23 15:12    标题: 回复: 【贴图】看看这是什么病毒?

关于注册表服务项,没有清除的原因是因为微点后面安装的,前面这个程序已经做了一些动作没有记录,所以没有清除这一项。
作者: 易拉罐     时间: 2005-11-24 12:19    标题: 回复: 【贴图】看看这是什么病毒?

呵呵,谢谢大家的回复
作者: 神话     时间: 2005-11-30 22:24    标题: 回复: 【贴图】看看这是什么病毒?

这只鸽子不会隐身哈~ ^_^
作者: six666666     时间: 2005-12-4 21:23    标题: 回复: 【贴图】看看这是什么病毒?

好!历害!
作者: berkeley     时间: 2006-4-10 20:03
楼主真牛!
作者: 微笑箭客     时间: 2006-4-12 16:54
鸽子这么难处理啊,我装了微点应该没问题了吧
作者: killwolf     时间: 2006-4-24 21:19    标题: 请教啊

请问啊,如果木马和微点都调用什么api啊,hook啊,那谁杀谁啊?我不是很懂,想问问。还有就是:rootkit呢?
作者: song821014     时间: 2006-4-27 14:12
#14  请教啊

请问啊,如果木马和微点都调用什么api啊,hook啊,那谁杀谁啊?我不是很懂,想问问。还有就是:rootkit呢?

同上。
作者: yzxiaowu     时间: 2006-6-9 13:10
厉害啊!楼主!
作者: lrx182125     时间: 2006-6-10 21:42
看来微点主动防御有实力。
作者: grayxlm     时间: 2006-6-16 15:17
呵呵,很喜欢,不错啊,顶下咯。。。
作者: hhstu     时间: 2006-9-7 10:58    标题: 高手!!!分析得挺好的,

作者: captlinyanxing     时间: 2006-9-7 15:28
好贴!又学了点东西!辛苦了楼主寒热版主
作者: fujianwzh     时间: 2006-9-10 22:13
这不是什么高级的灰鸽子喽。。只是普通级的。

高级的灰鸽子,IE进程是绝对看不见的。。就连网络流量显示的灯也不会亮的。
作者: liubo     时间: 2006-9-11 22:24    标题: 我也中了此毒,微点没有杀干净

我也中了此毒,微点没有杀干净:D,不光是注册表没有清干净
只清除了这两个文件而已,
G_SERVER2006.EXE
G_SERVER2006.dll
还一个G_Server2006Key是系统隐藏文件也没有干掉
用江民未知病毒检测,运行状态还是“运行”:mad:

[ Last edited by liubo on 2006-9-11 at 22:33 ]
附件 1: 灰鸽子.png (2006-9-11 22:24, 7.09 K,下载次数: 28)


作者: Legend     时间: 2006-9-11 22:28
请在自启动信息中看看此文件是否有启动
作者: 微点专家     时间: 2006-9-12 12:05
好贴!!!
作者: jf012     时间: 2006-11-4 23:00
晕 小马儿而已 岂能用微点牛刀
作者: 枫叶     时间: 2006-11-5 17:21
精彩!!
作者: oq166     时间: 2006-11-8 12:10
支持你
作者: 阿多     时间: 2006-11-8 17:54
我觉得是 冰河的服务器端软件。
作者: zjf     时间: 2006-11-9 09:18
楼主辛苦哈
作者: 相当拉风     时间: 2006-11-11 22:31
经典文章
加以加精置顶
作者: akdy     时间: 2007-4-28 18:27
真不容易啊。。厉害
作者: hds_ss     时间: 2007-4-29 07:38
学习学习!
作者: cxd1588     时间: 2007-4-29 09:32
我们这里流利一个病毒:特征是.exe文件变成.com文件,不是威金的,不知是什么!机器安装正版瑞星的
作者: qtwrk     时间: 2007-4-30 06:02
呵呵,从这一点上看出微点的一点不成熟,没有辨认出这只鸽子...我们明眼人一看就知道是鸽子了,它一个杀毒软件都不知道....
作者: yuxiaoxiao     时间: 2007-5-4 16:55
微点删除木马不报,我也发现,真是无名英雄。不过对宣传不利,还是报了的好
作者: norman6810     时间: 2007-5-6 19:31
LZ分析得好详细啊,我也用微点处理了好几台这样的机子啦。
    微点的确是有效率的软件。
作者: norman6810     时间: 2007-5-6 19:36


  Quote:
Originally posted by qtwrk at 2007-4-30 06:02:
呵呵,从这一点上看出微点的一点不成熟,没有辨认出这只鸽子...我们明眼人一看就知道是鸽子了,它一个杀毒软件都不知道....

大哥人家是软件,哪有您智商高啊
作者: 东方红旗     时间: 2007-5-10 18:28
真的是精品,值得学习
作者: safeage     时间: 2007-5-15 11:42
版主回复真是及时啊,敬业精神值得所有论坛版主管理员学习!!!
作者: breathe     时间: 2007-5-18 00:31
图文并会,不错,学习了
作者: 初出江湖     时间: 2007-5-18 09:51
又一只鸽子被抓住了。。。。
作者: Linwin     时间: 2007-5-18 16:24
鸽子,很麻烦呀....希望不要再来了..
作者: 富富     时间: 2007-5-18 21:10
呵呵..楼主真牛B..哈哈
作者: 特别请假一天     时间: 2007-5-19 09:35
楼主厉害啊
作者: likey     时间: 2007-5-19 12:32
~ ^_^
作者: qepwq     时间: 2007-5-19 21:03
哦!
这样的时候太多了
不过
谢谢楼主的发贴呀!
应该 在其它的论坛上多发!
作者: jiliov     时间: 2007-5-22 14:16
沙发坐一坐.
同样的经历,同样的结果.太多太多.
只能坐坐沙发.
以前装瑞星上网看似穿着"皇帝的新装"其实是在裸奔,现在用微点,那是在穿西装打领带,嘛东西都不怕.
作者: hzjcla     时间: 2007-5-23 06:23
我转发到别的论坛去,宣传一下微点。
作者: pcw011686     时间: 2007-5-24 19:46
思路清晰
作者: safeage     时间: 2007-6-15 17:50
楼主真是厉害,你是个电脑高手吧,又给我上了一课啊!!!
谢谢!!你没有QQ加一下,多请教啊!发消息给我可以吗??
作者: jiagw     时间: 2007-8-6 17:52
这只鸽子没做好!
作者: qq2008444     时间: 2007-8-6 17:55
真苯的鸽子
应该是个人改版
作者: liulangsky     时间: 2007-8-8 09:45
路过,学习了
作者: sidineyqiao     时间: 2007-8-8 10:39


  Quote:
Originally posted by jiliov at 2007-5-22 14:16:
沙发坐一坐.
同样的经历,同样的结果.太多太多.
只能坐坐沙发.
以前装瑞星上网看似穿着"皇帝的新装"其实是在裸奔,现在用微点,那是在穿西装打领带,嘛东西都不怕.

请微点工作人员坚持坚持再坚持,千万不要热昏头脑,即使上士之后也要做好客服,失人心者失天下,到时再好也不一定会有这么多人支持,大不了裸机..

客户就是上帝,请慎重.!;)
作者: 5985448     时间: 2007-8-8 11:20
你试过,在安全模式下删除了没?
作者: sunya521     时间: 2007-8-9 20:49
哈~~我的第一个想法和55楼的想法一样!!!


楼主没有说在安全模式里能不能删除这只肉鸽啊!
作者: SU-35SKM     时间: 2007-8-12 16:42
很好很强大
作者: kimlee     时间: 2007-8-13 20:19
是很不错~!
作者: fanghao1234     时间: 2007-8-14 14:41
微点好样的···
呵呵
作者: Mage     时间: 2007-8-15 14:15
不错的示范。
作者: SU-35SKM     时间: 2007-8-16 11:52
看来微点防御不错
作者: 燕赤龙     时间: 2007-11-20 10:54
其实只要我们平时把用微点时遇到的问题都回复给微点,我相信微点一定能做得更好。
作者: qwnz071     时间: 2007-11-20 21:52
又学了点东西
作者: u3231     时间: 2007-11-21 03:24
怎么时间是2005/11/13日 ?
作者: vilanden     时间: 2007-12-15 15:42
不要把微点当成全能的了,安全是它的首要任务,其它的工作就留给别的专业软件做.
作者: 网络CD     时间: 2007-12-16 11:38
相信微点能走的更远更好真金不怕火练
作者: aniu2006     时间: 2007-12-19 22:19
不错的教程,学习了!!
作者: a87750530     时间: 2007-12-20 11:32
学习中!!呵呵呵
作者: abswin     时间: 2007-12-21 18:40
真是有心之啊,不过牛。
作者: hljking     时间: 2007-12-27 13:55


  Quote:
Originally posted by norman6810 at 2007-5-6 19:36:

  
   大哥人家是软件,哪有您智商高啊

34#   


同意此见解
作者: xjjct     时间: 2008-1-11 22:53
楼主辛苦了。
作者: fangzhen23     时间: 2008-1-15 15:31
21世纪最需要的是什么?
人才!
作者: 雨花石     时间: 2008-4-4 22:43
仔细看了楼主的分析,感觉不是灰鸽子木马,证据有4.
1.灰鸽子的版本有好多个,自2005的某个版本以后都采用了深度隐藏的技术,具体的名字叫什么不调用来着,--忘记了。你既然在正常的模式下把所有的隐藏打开以后能看到病毒的源文件,初步估计不会是灰鸽子(除非是黑防版的或1.23以后的修改版,黑防版的在这方面不完善)。
2.灰鸽子病毒在安装的过程中会释放几个DLL文件到病毒安装的目录,具体的DLL文件的数量有3个的也有2个的,依版本而不同,(黑防版或1.23以后的修改版的除外,黑防版和1.23以后的修改版的只有一个病毒文件),既然只有一个EXE的文件,估计也不会是灰鸽子。
3.那也有可能是黑防的?(肯定有人问),灰鸽子在自身安全上面下足了功夫,进程默认会插入IE中的,不过在任务管理器中是完全可以结束IE进程的(灰鸽子并没有守护进程),在结束IE的进程以后,按说也是可以删除病毒的本身的,由此说估计也不会是灰鸽子。
4.灰鸽子在服务里面是不显示的(除非是2004以前的版本)。
综上所述,你的机器中的病毒应该不是灰鸽子病毒。(个人观点)
  灰鸽子木马的集大成者,吸收了大多数远程控制软件的优点,以灵活多变为特色,在国产木马中首先使用了反弹上线的技术 ,加上技术开发小组的强大力量,打造出了中国黑客届应用作广泛的远程控制软件。
  虽说灰鸽子停止开发了,但是修改版和变种还是在网民的电脑中肆虐。
  不要不管是什么木马都往灰鸽子上扣盆子。。      
  不要说我是灰鸽子的人哦,我只是对鸽子有一些了解。。。。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn