鸡年岁末踩了鸟地雷——又见灰鸽子- -

十七·烈行风

-_-

师傅也有被阴的时候哈-_-

亚森罗宾

惊人的相似,我也是在BT一个KOF连续技视频时遇到过,文件名看上去叫"KOF99COMBO.RMVB"还好我一般都不隐藏括展名而且喜欢将文件名改成自己喜欢的名字,正准备改成"KOF99连续技.RMVB"时发现后面一长窜空格"KOF99COMBO.RMVB                       KOF.SMI",居然是个可执行文件.用毒霸定为可疑文件提交给了金山.

看了YS的遭遇感到怕怕.

qyfcool

貌似中招了……但是不对吧，开着杀毒软件呢，而且看着扩展名是“.rm”，难道是利用Real播放的漏洞？想着又仔细看了一下文件,赫然写着“…….rm                                .exe”----____----

汗，有够阴的..........

SWizard

除夕傍晚，BT中——

发现任务中有几个文件已经完成，都不是重头戏，无聊，翻翻。

见到一标题似与主题不相干的“rm文件”，400多KB，心想怎么这么小……但想起原来看过的许多低画质的KOF连续技片段文件也这么大，而且文件夹选项中设置了显示文件扩展名，看起来确实是“.rm”结尾。于是——点了两下- -

……没反应（心想正常，这台老机器连VisualStudio2003都用不成，开Real也慢，习惯了）

…………还是没反应（心想这电脑是该扔了）

天网防火墙狂报错中：应用程序错误: "0x77e40b00" 指令引用的 "0xffffffff" 内存。该内存不能为 "written"。（汗……）

BitComet.exe - 应用程序错误: "0x77e40b00" 指令引用的 "0xffffffff" 内存。该内存不能为 "written"。（再汗……）

……略去其他程序报错数条- -（@$@#%^@!@%^）

貌似中招了……但是不对吧，开着杀毒软件呢，而且看着扩展名是“.rm”，难道是利用Real播放的漏洞？想着又仔细看了一下文件,赫然写着“…….rm                                .exe”----____----

结论：
一：被这N个空格暗算了。
二：杀毒软件不认识它

每开一个EXE就跳一个错误框，每访问一次网络也跳，受不了了- -

重新启动，钻到备用的Win98里面，手工把XP的注册表数据文件、用户配置文件还原到刚装好的状态（懒得格式化重装系统）。回来，除了软件信息全部丢失之外，一切正常。

结论：
肯定是文件型病毒（不是引导型或者感染PE，否则还麻烦）- -

开始试用各种杀毒软件，结果均告失败- -（懒得自己杀，当时用的是卡8，后来用瑞星、金山、Norton、Mcafee、AntiUnknown、Panda等等一大串软件都不能杀出，特别的是AVP检查出了口令记录文件并断定可能感染“灰鸽子”，可惜未能查出病毒体，但是唯一对之有反应的）

无聊，看春晚去鸟- -（好像更无聊，嗬嗬）

初一睡了一天，残念……

醒，想起需要在原来的系统里面继续搞一些东西。钻到备用的Win98里面，手工把XP的注册表数据文件、用户配置文件还原到感染病毒的状态，开始带毒运行。根据此前的状况，基本断定是启动时加载或者文件关联（这样就简单了），查注册表启动项——HKLM..RUN没有、HKU.default..RUN没有、HKLM..Shell没有、HKCR..exefile没有。至此，疑点只剩下了服务。管理——系统服务——发现诡异的名字“3.2erver”，路径“G:\Windows\Laddav.exe”（不要笑，XP就是装在G分区- -）。但服务状态显示为停用，进入系统目录也未发现所指明的文件。隐藏的还不错，找点其他的根据证实一下：事件查看——系统日志：“2006-1-28 Service Control Manager 18:42:16 3.2erver 服务成功发送一个 开始 控件。”，时间吻合，然后就是一连串的错误日志。想起传说中的拦截API调用隐藏文件，于是安全模式伺候，找到同名的*.exe、*.dll、*key.dll等若干文件（果然是灰鸽子，但是是新变种或者换了壳，所以查不出来）然后自然是剁了喂小强- -

算是搞定，把最开始的那个文件当作样本提交给卡8的NewVirus邮箱，Done- -