科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道分析一个鸽子 wmp.exe

分析一个鸽子 wmp.exe

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

文件: wmp.exe,大小: 642048 字节,病毒名称:backdoor.Win32.Hupigon.feh (F-Secure Anti-Virus ),调用ie,路径: C:\Documents and Settings\user\桌面\wmp.exe。

作者:zdnet安全频道 来源:论坛整理 2008年6月14日

关键字: wmp.exe 灰鸽子

  • 评论
  • 分享微博
  • 分享邮件

文件: wmp.exe
大小: 642048 字节
病毒名称: Backdoor.Win32.Hupigon.feh   (F-Secure Anti-Virus )
MD5: 3F2F3661F940ECE9F843D2B6EB9B742A
SHA1: AB503D5F7E1F2EB868F3BC922038A60E02883F7B
CRC32: 8555737B

ssm记录的日志

父级.进程: 调用ie
    路径: C:\Documents and Settings\user\桌面\wmp.exe
    PID: 2548
子级进程:
    路径: C:\program files\internet explorer\IEXPLORE.EXE
    信息: Internet Explorer (Microsoft Corporation)
    命令行:"C:\program files\internet explorer\IEXPLORE.EXE"

添加服务
进程:
    路径: C:\WINDOWS\system32\services.exe
    PID: 664
    信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
    注册.表键: HKLM\SYSTEM\CurrentControlSet\Services\wis xp
   

进程:
    路径: C:\WINDOWS\system32\services.exe
    PID: 664
    信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
    注册表键: HKLM\SYSTEM\CurrentControlSet\Services\wis xp
    注册表值: ImagePath
       类型: REG_EXPAND_SZ
       值: C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice45.exe


父级进程:    调用计算器。。。。 各位小心。。。
    路径: C:\program files\internet explorer\IEXPLORE.EXE
    PID: 2592
    信息: Internet Explorer (Microsoft Corporation)
子级进程:
    路径: C:\WINDOWS\system32\calc.exe
    信息: Windows Calculator application file (Microsoft Corporation)
    命令行:"C:\windows\system32\calc.exe"


进程:
    路径: C:\program files\internet explorer\IEXPLORE.EXE
    PID: 2592
    信息: Internet Explorer (Microsoft Corporation)

网络信息:
    IP 地址: 192.168.40.129
    信任的区域: 是
    协议: TCP
父级进程:
    路径: C:\WINDOWS\system32\calc.exe
    PID: 2808
    信息: Windows Calculator application file (Microsoft Corporation)
子级.进程:
    路径: C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
    命令行:"C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice45.exe"

父级进程:    如果结束calc.exe或IEXPLORE.EXE 会自动再次启动。。
    路径: C:\WINDOWS\system32\calc.exe
    PID: 2808
    信息: Windows Calculator application file (Microsoft Corporation)
子级进程:
    路径: C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
   
命令行:"C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice45.exe"
创建进程calc.exe   IEXPLORE.EXE 隐藏进程explorer.exe
释放文件:C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\paramstr.txt
C:\windows\system32\_rejoice45.exe

解决:打开冰刃   设置   在禁止.进线程创建前打钩
结束进程calc.exe   IEXPLORE.EXE 显示为红色的 先不管explorer.exe
在注册表中删除HKLM\SYSTEM\CurrentControlSet\Services\wis xp
删除文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\paramstr.txt
C:\windows\system32\_rejoice45.exe
最后把禁止进线程创建前的钩去掉 结束进程explorer.exe后 使用任务管理器建立explorer.exe   使用sreng删除服务wis xp即可 重起 检查病毒文件是否存在。

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号