已经有一段时间没有看到叱咤风云的“灰鸽子”了,因此可能很多朋友会问是不是灰鸽子被金山给打死了?然而昨天我在看金山毒霸铁军的blog的时候却发现了一个并不好的消息——那个曾经令人胆寒的灰鸽子正准备死灰复燃~!而且很可能是一种更加令人防不胜防的方式——借尸还魂! 这就是利用目前非常“火爆”的病毒——AV终结者的“病毒下载器”自动下载并展开蔓延,如果是这样子,后果将不堪设想,又会有多少无辜的用户成为肉鸡…… 也正如此,金山提示我们使用4.2版的AV终结者专杀检查本机是否受到AV终结者的入侵,这样就可以防患未然了。Hehe 这个消息虽然令人感到些许不安,不过看到铁军和金山毒霸对灰鸽子斩钉截铁的战斗态度,还是松了一口气,最起码,遇到了问题之后总有一个相对稳妥的解决办法!当然,加强防范,防患未然还是非常需要的。下面把铁军的文章转载下来,有兴趣的朋友可以深度研究一下^_^: 继灰鸽子木马宣称退出江湖之后的一段时间内,金山反病毒中心截获的灰鸽子相关病毒,主要是以加壳做免杀为主。上周末,金山反病毒中新截获一重大变化的灰鸽子新变种,证实灰鸽子并未退出江湖,在经过短暂的静默之后,正在图谋收复失地。
新版灰鸽子的主要更新有:
采用进程内容替换技术和双进程互相监视技术,大大提高自我保护的能力;
进程内容替换是指:病毒启动一个Iexplore.exe 进程,然后把该进程的内容替换为病毒进程的内容。从而具备更深的隐藏性。
进程互相监视:病毒此次启动了Iexplre.exe和Calc.exe(计算机)两个进程,并都使用了进程内容替换技术,将这两个进程替换为病毒进程。此时内存中存在两个病毒进程,它们会相互守护,当发一其中任意一个被结束时,未被结束的进程会将其重新启动。
据金山反病毒中心监测的结果,目前该变种感染量还较小,但可能成为AVKiller(AV终结者)之类的木马下载器重点传播的后门程序。也就是说,新版灰鸽子可能会和AV终结者狼狈为奸,对电脑用户造成严重的安全威胁。 注:提醒各位网友,访问http://zhuansha.duba.net/259.shtml下载AV终结者专杀工具,检查是否遭受“AV终结者”入侵,从而保证杀毒软件处于正常工作状态。
以下是该病毒的详细分析报告:
这是一个Windows平台下的黑客病毒,中毒后,病毒会连接到远程的黑客主机,使用户机器完全受控于黑客。黑客可以查看、下载中毒机器上的任意文件,记录用户所有电脑操作,盗取用户QQ号码、网银等信息等。当用户主机连有摄像头时,黑客甚至可以通过摄像头对用户进行远程监视,造成用户数据、隐私泄露,危害极大。
1、将自身伪装成以下伪系统正常程序:
%systemdir%\ssms.exe
系统分区:\Program Files\Common Files\Microsoft Shared\MSInfo\_ssms.exe
2、添加如下病毒服务:
服务名: Windows-UP
显示名: Windows-UP_2007_71
服务描述: 系统最新安全补丁自动更新
服务文件:%systemdir%\ssms.exe
3、尝试删除QQ的键盘驱动文件npkcrypt.sys。
4、创建两个隐藏进程:%systemdir%\calc.exe(系统自带的计算器进程)
和
系统分区:\program files\internet explorer\IEXPLORE.EXE(IE进程),将这两个进程的代码替换成自己的病毒代码然后执行,这两个进程会互相守护。
5、病毒发作时,会主动连接病毒作者的控制端,成功连接病毒作者的控制端后,病毒作者能够实时获取用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程,也能够控制被感染机器关机或重启。 针对这些特征,金山毒霸的AV终结者病毒专杀工具4.2版本采用了进程内容替换和进程监视技术,可以更好对AV终结者以及相关的病毒做好防范。 | 
[复制链接]
发表于 2007-7-2 17:53:24
发表于 2007-7-2 18:34:29
