查看: 5950|回复: 16
收起左侧

关于“rootkit hidden object”这个病毒!!

[复制链接]
jpzy
发表于 2007-3-6 17:33:30 | 显示全部楼层 |阅读模式
我一个朋友中了!我只是听他描述了一下,还没有见到他的电脑!不过以前没遇到过,百度了一下,发现有个帖子写着“卡巴也杀不了”,是个很难缠的病毒!想问问看,哪个兄弟见过这个东西~!怎么杀呢?!

[ 本帖最后由 jpzy 于 2007-3-6 19:49 编辑 ]
seok
发表于 2007-3-6 18:54:52 | 显示全部楼层
我单位的电脑碰到过
一下就把我的瑞星杀死了
只有ghost恢复

不知道卡巴如何。。。
jpzy
 楼主| 发表于 2007-3-6 19:49:16 | 显示全部楼层
呵呵,已经解决了~!刚才去了朋友那看了一下,终于明白是怎么回事了!我来详细说说!!

先看看卡巴的报警信息:
已检测到: 风险软件 Hidden object 运行进程: C:\Program Files\Internet Explorer\IEXPLORE.EXE
已检测到: 风险软件 Hidden object 运行进程: D:\工具\realplayer\realplay.exe
已检测到: 风险软件 Hidden object 运行进程: D:\工具\木马杀客\木马杀客\mmsk.exe
已检测到: 风险软件 Hidden object 运行进程: D:\工具\千千静听 \TTPlayer.exe
已检测到: 风险软件 Hidden object 运行进程: C:\Program Files\Thunder Network\Thunder\Thunder.exe


因为卡巴报“风险软件 Hidden object ”,所以朋友和网上的一些帖子就把这个东西叫做“Hidden object ”病毒!其实,这个“Hidden object ”是当这个后面路径中的exe文件运行时,因为某种原因,导致了进程被隐藏!那么是什么原因呢?

开始的时候,我听了朋友的描述,上网搜了一下,然后让朋友下载icesword1.20,告诉他用这个工具来查看隐藏的进程,如果发现异常进程,就终结它,然后到对应路径下面删除文件就行了!这是一般病毒的处理方法!可是,当我到了朋友的电脑那一看,发现,icesword,maxthon,notepad都在icesword进程列表里面显示了红色!说明这几个进程都被隐藏了!这是个什么病毒呢?它隐藏这些正常进程做什么?

虽然不知道怎么回事,但是,处理这种问题的步骤基本上是固定的!那就先清理启动项吧!我于是,找了一个hijackthis,一运行,卡巴立刻提示“已检测到: 风险软件 Hidden object 运行进程: D:\工具\Hijackthis\Hijackthis1.99.1.exe ”!晕~~什么东西这么厉害!不管它,先允许,让hijackthis运行,然后发现了一条可疑的项目“https://password.qq.com/download/qqedit.cab”,先删掉它!然后打开系统服务,发现了一个名字叫“windows XP Vista”的服务,描述里面赫然写着“灰鸽子客户端,远程控制管理”的字样!打开路径一看,是“c:/windows/Higeon.com.cn.ini”,至此,真相大白,原来是个灰鸽子!关闭这个服务,然后重启,进入系统后,运行了一下icesword,发现那种隐藏进程的情况没有了!打开这个Higeon.com.cn.ini文件,发现全是乱码,而且这个文件比一般的ini文件大很多,我不是很了解利用ini文件来作怪的方式,所以没有研究,删除了!

再在c盘里面搜索qqedit这个文件名,发现在c:/windows/system32下有个qqedit的文件夹,里面有几个文件,其中有驱动,有dll文件!估计是利用ini文件加载了这个驱动,让灰鸽子起的作用!!

那么回头想想,就不难知道“Hidden object ”其实就是一个加载到内存的驱动和dll对其它进程的操作!!它通过监控其它进程(甚至是注入,不过卡巴的主动防御没有提示注入),来记录所有的相关信息(根据qqedit,和下载地址来判断,应该是个盗号的东东)!

好啦,所有的问题都讲完了,不知道我说的清楚不清楚!这个“Hidden object ”不是一个病毒或者木马,而是一个操作!我在网上看到的,关于这个关键字的,大部分也都是灰鸽子木马!不过,这次遇到的这个木马真是不好对付,好在总有蛛丝马迹可循~!呵呵,自己得意一下

[ 本帖最后由 jpzy 于 2007-3-6 19:51 编辑 ]

评分

参与人数 1经验 +2 收起 理由
theone + 2 加分鼓励

查看全部评分

jpzy
 楼主| 发表于 2007-3-6 19:51:09 | 显示全部楼层
不过通过这件事看来,卡巴的免杀还真是挺容易做的!!
而且这个灰鸽子的加载方式我还是头一次遇到!挺好玩的,大家都学学!
jpzy
 楼主| 发表于 2007-3-6 19:55:13 | 显示全部楼层
对了,C盘根目录下面还有几个irs文件!另外,一个CMD.txt文件里面有一行代码,因为我对网络攻击不太熟悉,所以没怎么看懂!不过看样子是跟这个灰鸽子有关的!
我想,朋友的电脑一定是被什么人入侵了!
他装的是KIS307,不过反黑客开的是低安全!!
wangjay1980
发表于 2007-3-6 21:31:13 | 显示全部楼层
通过加载服务或驱动,再加上DLL插入隐藏自己的进程,卡吧虽然杀不掉,但是还是可以发现并提示的,可以通过SRE扫描报告,分析并消灭毒根。
jpzy
 楼主| 发表于 2007-3-6 21:34:43 | 显示全部楼层
问题是卡巴没有发现任何dll注入的情况!我也很奇怪这个鸽子是怎么运作的!看他把ini添加为系统服务,我估计是用ini加载了驱动,然后进行进程监控的!!
ptgt3rsr
发表于 2007-3-6 21:44:54 | 显示全部楼层
好象307版主动防御功能不全,614就有提示,其他版本不详

[ 本帖最后由 ptgt3rsr 于 2007-3-6 21:47 编辑 ]
wangjay1980
发表于 2007-3-6 21:45:19 | 显示全部楼层
你开了完整性保护没有
jpzy
 楼主| 发表于 2007-3-6 21:50:01 | 显示全部楼层
开了!没开注册表防护!
没开反广告!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:53 , Processed in 0.126943 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表