微点交流论坛 - 反病毒 - GPigeon灰鸽子2006版的手动查杀

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » GPigeon灰鸽子2006版的手动查杀

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

#1 GPigeon灰鸽子2006版的手动查杀

作者：塞北|谷子熟了吗　来源：赛迪网技术社区　发布时间：2006.08.31

今天真是个值得记住的日子，和一个病毒的战斗，从上午一直到下午，唉，老了。。。不过，这个鬼东西还是很有点意思的，写下战斗的整个过程，与各位共享之，也希望能帮到和我一样情况的朋友们。灰鸽子也就是backdoor.gpigeon。

事情的起因，昨天晚上我在看易中天的品三国呢，突然跳出来一个窗口，访问的是这个网址：（如果访问需小心中毒！）

我就想看看是什么情况，就看了一下代码，是加密的，解密后如下：

后面的代码我就不帖完整了，反正是个恶心的人，估计想盗QQ密码，也怪我自己，一时起了好奇心就把这个病毒下载下来，关了防火墙后运行了一下，觉得不声不响就让我中招了也有点儿意思，想看看到底会怎么样。当时没什么反应，用w32dasm也没看出来什么，当时很晚，也就睡觉去了。

早上打开电脑开始准备工作时，好戏开始了。。。

首先是explorer.exe报错，关闭，接着是病毒防火墙开始哼哼了，说有XXX病毒，我也没在意，就让杀毒软件杀了，结果不行，卡巴不行，又试了360安全卫士，看看是不是什么流氓插件搞的鬼。结果报注册表里有问题，服务里也增加了新的未知服务，但都不能修复。

我就进了安全方式，用卡巴和360杀。。。。不行。。。

这下子我兴趣来了，看看到底怎么了，打开进程管理器，发现有两个smss.exe，其中一个的pid很高，不用说，肯定就是它搞鬼了，终止！

再用卡巴杀，OK了，都可以清除了。

偶就开始上网，准备工作，没一会，QQ又出错了，而且，那个鬼网站又弹出，我知道问题没有那么简单。。。。病毒肯定还在。

但是进程里已经没有什么不对劲的地方了，我想到，应该是用的dll注入。。。。

进入安全方式，卡巴已经报说服务已经出错，不能运行！这时候我想到，应该是中了比较厉害的木马了，有反杀毒软件能力，这时我想起了灰鸽子、广外女生。。。。

于是我卸载了卡巴5,装了卡巴6,这时候只想早点开始工作。。。。

卡巴6升到最新后查出了system32目录下有lsass.dll 和 lsasskey.dll 还有若干exe文件，一看名字，果然灰鸽子嘛。。。。

这肯定是一个新的版本，因为2005版的鸽子以前宰过。

回想了一下，连同我自己发现的，大概有这么一些文件是有毒的：

windows 与 system32目录下的 .com文件 ?.exe iexplorer.pif、scvhost.exe 。。。。。

system32\drivers\下的 smss.exe lsass.dll lsasskey.dll lsass.exe

还有其它一些，现在已经记不得了，大概一起至少有20个左右的病毒文件，其中还打包了盗QQ的程序。

病毒还改变了exe文件的打开方式，导致系统里很多程序在杀除部分后不能运行，每次我都要手动修复注册表。

（regedit.exe 要改成regedit.com才能用）

我先用天网禁止了系统进行如rundll32 explorer.exe访问网络，免得数据和密码泄漏。然后用卡巴开始杀！

lsass.dll和lsasskey.dll每次都说重启后杀除，但实际上杀不掉。

我上网找了一下，在卡卡社区里看到了类似的案例，但我没想到，我遇到的这个更麻烦。。。。

按网上说的，安全模式下，我准备手动清除，没想到，在卡马提示的目录下，居然没有这个文件，而且过一会后，系统很多目录都提示没有权限访问，这个臭鸽子，竟然连系统的api都监控了，又恨又佩服作者，净搞这些个无聊的事。

这时候，网上的办法已经没有什么帮助了，下载的瑞星的专杀工具也检测不到。。。

我开始了第二阶段的战斗：

拿出了98的光盘，在DOS模式下，用 dir /a 命令见到了在system32\drivers目录下的这些鬼，用deltree清理，这时已经下午了。删除完后，觉得应该没问题了，重启一下去吃东西了。。。给这家伙害的中饭还没吃呢。。。。

等吃点东西回来一看，卡巴又说发现了lsass.dll 和 lsasskey.dll，我郁闷！！

看来，应该是用了驱动技术加载了病毒，真是烦啊，没办法，开始找我的工具。。。。。

准备武器如下：filemon regmon hijackthis icesword killbox sreng2( system repair engineer)

老子拼啦！ -_-

PS：icesword运行出错，不知道是不是鸽子捣乱的，唉它现在已经加入了Rootkit.Vanti，真不知道下一个版本。。。。

下面是杀除的具体过程：

先用process explorer 找到了smss和windows下的scvhost.exe，结束掉。

运行了一下，原始的病毒文件，用filemon 和 regmon 记录了一下所产生的文件和修改的注册表。使用用killbox删除，看不到的重启到dos下删除，接着修复注册表中exe的打开方式，及与IE相关的一些设置。停止假scvhost开启的服务。

至于驱动方式启动的病毒文件，sreng2里找到了不少，现在记不清哪些是鸽子的了，不过，\??\开头的大家就要注意看，我是只要可疑的都干掉了。。。

重启后，用卡巴6杀掉了一些“残兵”（因为前面没有做记录和截图，所以只有这里我附了一个图片，大家可以看一下。），系统终于恢复正常了。。。。后来又用360安全卫士修复了一些设置，已经快到下班的时间了。今天算是献给了亲爱的鸽子了。。。。

不过，我后来想，如果用系统还原应该也可以，不过前提是先把染毒的文件清除，再做系统还原，也应该是一样的效果。

如果有什么错漏的地方，还请各位朋友指正，相互交流。

题外话：鸽子做到这种程度，再说自己是什么合法软件未免可笑，加载的这些驱动，开启的服务都会引起系统的不稳定，这种行为低劣病毒，实在不应该穿着合法的外衣了。。。。

搜索帮助：灰鸽子专杀手动清除灰鸽子灰鸽子清除 lsasskey.dll病毒 lsass.dll 怎么办

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

做个性的自己

2006-8-31 21:05

fujianwzh
中级用户

积分 252
发帖 216
注册 2006-8-17

#2

灰鸽子是极为可恶的，对付的难度也大，我是领教过的。。卡巴还清不了它。

※ ※ ※ 本文纯属【fujianwzh】个人意见，与【微点交流论坛】立场无关※ ※ ※

Google的后花园 →Googlegarden.blogspot.com
软件搜搜 soso →Softsoso.blogspot.com

2006-9-1 01:20

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号