发现灰鸽子,backdoor.hupigon.??

新饭

【环境】
KIS7俄文正式+汉化，xp-sp2+所有补丁
文件监控，程序活动，注册表，防火墙

【感染1】
首先由usb移动硬盘感染，有autorun.inf指向server.exe,
双击盘符，卡巴无任何反应，此时已插入Explorer进程，用户只看到盘符未打开
此时无论是双击盘符还是右键打开都无法进入移动硬盘，出现选择打开方式的对话框
直接在地址栏写盘符m:\可以进入

【处理1】
(此时用卡巴手动扫描移动硬盘，可以发现并清除server.exe,重新启动explorer即可恢复正常
以下为另一台机器，配置相同，卡巴关闭)

【感染2】
后门会在个分区根目录释放rundll.exe,并不停在c:\windows释放rundll.exe
实际上是rundll.exe.?????.pf的文件，中间一段不记得了
下来就会发现所有盘符无法打开。

【清除】
使用icesword禁止线程创建，搜索并删除所有rundll.exe开头的pf文件，删除所有分区的autorun.inf
发现一个安装在office的程序进程，还有对应启动项目，[这个不太确定，反正我的office2003没这个]
重新启动explorer

【后记】
1，这个家伙插入exploer，卡巴都不吭声！(手动却能查杀)
2，可能是卡巴的作用吧，在第一台机器，不释放，不加启动项，除了移动硬盘分区打不开，其他的都正常，还有这么老师的家伙？移动硬盘可是右键也打不开！
3，在第二台机器，即然是后门，不好好潜伏，抢硬盘干啥，出现打不开盘符，是人都知道感染了

在这里写下来，与大家分享，抛砖引玉嘛

漫步白月光

谢谢分享 但是 这个好像不发在这个区吧...

huxiqiuzhen

能杀就好,喀吧监视能力不够,需要经常手动扫描

chenwq

不像是灰鸽子啊
单纯中了灰鸽子不会出现盘符无法打开的想象,木马的功效是隐藏自己,实现远程控制

楼主应该是中了某些下载者病毒,之后把灰鸽子给下载下来了!!!

左手心

楼上说的好像有些道理~

新饭

我也正纳闷，不过当时没有联网，下载是不可能，
除非自带替死鬼？明修栈道，暗度陈仓？