[08-01] 再斩灰鸽子Backdoor.Gpigeon.uql新变种(第3版)

endurer　原创
2006-07-31　第3版补充杀毒软件的反应。
2006-07-30　第2版补充杀毒软件的反应。
2006-07-29　第1版

昨天，有位网友的说，他电脑上的瑞星开机自动扫描总报告：
-----------
Backdoor.Gpigeon.uql            清除成功    2006-07-28 16:01      IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE本机
-----------

于是通过QQ进行远程协助。

该网友电脑使用的是Windows XP SP2。

到 http://endurer.ys168.com 下载了HijackThis 扫描log，发现如下可疑项目：

------------------
F2 - REG:system.ini: UserInit=userinit.exe,

O4 - Global Startup: IE-BAR.lnk = C:/WINDOWS/system32/rundll32.exe

O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present

O23 - Service: servic - Unknown owner - C:/WINDOWS/servic
------------------

想通过控制面板里的管理工具中的“服务”控制台来停止并禁用 servic 服务，但系统提示MMC版本太低，不能打开“服务”控制台。晕！

当然我们可以尝试用 net stop 命令来停止 servic 服务，不过远程协助中的命令提示符下速度太慢了。

到 http://endurer.ys168.com 下载了IceSword，把 servic 服务 禁用（Disable）了。

不过 还是不能对文件 C:/WINDOWS/servic 进行操作，系统总提示这个文件被其它进程使用。IceSword在远程协助中操作也相当慢。

为了获取样本，所以不用“下次启动时删除文件”程序来删除 C:/WINDOWS/servic.

于是先到 c:/program files/IE-BAR/cast文件夹，卸载了 IE-BAR。

然后关闭所有文件夹窗口和浏览器窗口，用HijackThis修复上面所列的可疑项目。

重启电脑。

瑞星不再报告发现 Backdoor.Gpigeon.uql 了。

把可疑文件 C:/WINDOWS/servic 和 c:/windows/ssjy.exe 打包备份后删除。

servic
Kaspersky  报为 Backdoor.Win32.Hupigon.pv。 
江民KV 报为 Backdoor/Huigezi.deq。