关于“rootkit hidden object”这个病毒！！

显示全部楼层 · 发表于 2007-3-6 17:33:30

我一个朋友中了！我只是听他描述了一下，还没有见到他的电脑！不过以前没遇到过，百度了一下，发现有个帖子写着“卡巴也杀不了”，是个很难缠的病毒！想问问看，哪个兄弟见过这个东西～！怎么杀呢？！

[ 本帖最后由 jpzy 于 2007-3-6 19:49 编辑 ]

显示全部楼层 · 发表于 2007-3-6 18:54:52

我单位的电脑碰到过
一下就把我的瑞星杀死了
只有ghost恢复

不知道卡巴如何。。。

显示全部楼层 · 发表于 2007-3-6 19:49:16

呵呵，已经解决了～！刚才去了朋友那看了一下，终于明白是怎么回事了！我来详细说说！！

先看看卡巴的报警信息：
“已检测到: 风险软件 Hidden object 运行进程: C:\Program Files\Internet Explorer\IEXPLORE.EXE
已检测到: 风险软件 Hidden object 运行进程: D:\工具\realplayer\realplay.exe
已检测到: 风险软件 Hidden object 运行进程: D:\工具\木马杀客\木马杀客\mmsk.exe
已检测到: 风险软件 Hidden object 运行进程: D:\工具\千千静听 \TTPlayer.exe
已检测到: 风险软件 Hidden object 运行进程: C:\Program Files\Thunder Network\Thunder\Thunder.exe ”

因为卡巴报“风险软件 Hidden object ”，所以朋友和网上的一些帖子就把这个东西叫做“Hidden object ”病毒！其实，这个“Hidden object ”是当这个后面路径中的exe文件运行时，因为某种原因，导致了进程被隐藏！那么是什么原因呢？

开始的时候，我听了朋友的描述，上网搜了一下，然后让朋友下载icesword1.20，告诉他用这个工具来查看隐藏的进程，如果发现异常进程，就终结它，然后到对应路径下面删除文件就行了！这是一般病毒的处理方法！可是，当我到了朋友的电脑那一看，发现，icesword，maxthon，notepad都在icesword进程列表里面显示了红色！说明这几个进程都被隐藏了！这是个什么病毒呢？它隐藏这些正常进程做什么？

虽然不知道怎么回事，但是，处理这种问题的步骤基本上是固定的！那就先清理启动项吧！我于是，找了一个hijackthis，一运行，卡巴立刻提示“已检测到: 风险软件 Hidden object 运行进程: D:\工具\Hijackthis\Hijackthis1.99.1.exe ”！晕～～什么东西这么厉害！不管它，先允许，让hijackthis运行，然后发现了一条可疑的项目“https://password.qq.com/download/qqedit.cab”，先删掉它！然后打开系统服务，发现了一个名字叫“windows XP Vista”的服务，描述里面赫然写着“灰鸽子客户端，远程控制管理”的字样！打开路径一看，是“c:/windows/Higeon.com.cn.ini”，至此，真相大白，原来是个灰鸽子！关闭这个服务，然后重启，进入系统后，运行了一下icesword，发现那种隐藏进程的情况没有了！打开这个Higeon.com.cn.ini文件，发现全是乱码，而且这个文件比一般的ini文件大很多，我不是很了解利用ini文件来作怪的方式，所以没有研究，删除了！

再在c盘里面搜索qqedit这个文件名，发现在c:/windows/system32下有个qqedit的文件夹，里面有几个文件，其中有驱动，有dll文件！估计是利用ini文件加载了这个驱动，让灰鸽子起的作用！！

那么回头想想，就不难知道“Hidden object ”其实就是一个加载到内存的驱动和dll对其它进程的操作！！它通过监控其它进程（甚至是注入，不过卡巴的主动防御没有提示注入），来记录所有的相关信息（根据qqedit，和下载地址来判断，应该是个盗号的东东）！

好啦，所有的问题都讲完了，不知道我说的清楚不清楚！这个“Hidden object ”不是一个病毒或者木马，而是一个操作！我在网上看到的，关于这个关键字的，大部分也都是灰鸽子木马！不过，这次遇到的这个木马真是不好对付，好在总有蛛丝马迹可循～！呵呵，自己得意一下

[ 本帖最后由 jpzy 于 2007-3-6 19:51 编辑 ]

显示全部楼层 · 发表于 2007-3-6 19:51:09

不过通过这件事看来，卡巴的免杀还真是挺容易做的！！
而且这个灰鸽子的加载方式我还是头一次遇到！挺好玩的，大家都学学！

显示全部楼层 · 发表于 2007-3-6 19:55:13

对了，C盘根目录下面还有几个irs文件！另外，一个CMD.txt文件里面有一行代码，因为我对网络攻击不太熟悉，所以没怎么看懂！不过看样子是跟这个灰鸽子有关的！
我想，朋友的电脑一定是被什么人入侵了！
他装的是KIS307，不过反黑客开的是低安全！！

显示全部楼层 · 发表于 2007-3-6 21:31:13

通过加载服务或驱动，再加上DLL插入隐藏自己的进程，卡吧虽然杀不掉，但是还是可以发现并提示的，可以通过SRE扫描报告，分析并消灭毒根。

显示全部楼层 · 发表于 2007-3-6 21:34:43

问题是卡巴没有发现任何dll注入的情况！我也很奇怪这个鸽子是怎么运作的！看他把ini添加为系统服务，我估计是用ini加载了驱动，然后进行进程监控的！！

显示全部楼层 · 发表于 2007-3-6 21:44:54

好象307版主动防御功能不全，614就有提示，其他版本不详

[ 本帖最后由 ptgt3rsr 于 2007-3-6 21:47 编辑 ]

显示全部楼层 · 发表于 2007-3-6 21:45:19

你开了完整性保护没有

显示全部楼层 · 发表于 2007-3-6 21:50:01

开了！没开注册表防护！
没开反广告！

关于“rootkit hidden object”这个病毒！！

评分