网络红娘.....有幸得到个样本```
(不知道为什么有的杀软报灰鸽子,行为技术很相象吧?)
功能和技术方面不在灰鸽子之下,这点绝非扯淡``
据我跟踪到的,应该支持下面功能:
1、反弹连接(穿防火墙)、支持FTP、服务器、静态IP上线```
2、捕捉微点、卡吧主动防御窗口,尝试绕过``
3、可以随意在被控端删除、下载、复制文件,并能支配注册表``
4、模拟远程(被控端)屏幕变化,好像还支持彩色的=.=``
5、重点“照顾”QQ,能获得QQ性别、语言聊天监听等等``
6、被控端成为肉机,暴露IP、MAC、是否代理上网(局域)、PC详细配置等等信息``
(若居于内网,可以映射连接)
7、随便操纵肉机并针对某些服务器进行DOS、DDOS、SYN或特定端口攻击等``
8、记录键盘操作和缓存区的星号密码``
(发到 ****** ming@163.com )
9、使用远程计算机剪切板复制到本地``
10、在被控端可升级网络红娘版本``(明目张胆啊!!)
…………还有很多“功能”的,就不列那么多了``
………………………………………………………………………………………………
Aditional information
File Name: R_Server.exe
File size: 266240 bytes
CRC32 : 3C0D6316
MD5 : 8ea40b5856f9496e2c869c6cf911d978
SHA1 : da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA160 : F8BEEBCCBDA84F3369D26EC760D3D4A70786719Cc
Packers: N\A
Languages: Microsoft Visual C++ 6.0
运行,释放:
%Systemroot%\system32\RedG3irl.dat 209920 字节(其实是Dll文件,tElock壳,VC编写)
%Systemroot%\system32\RedG3irl.exe 266240 字节(主体)
%Systemroot%\system32\tmp.bat 95 字节(P处理)
写注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\LEGACY_REDG3IRL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\NextInstance
NextInstance = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Class
Class = REG_SZ, "LegacyDriver "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\ClassGUID
ClassGUID = REG_SZ, "{8ECC055D-047F-11D1-A537-0000F8753ED1} "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\ConfigFlags
ConfigFlags = REG_DWORD, 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\DeviceDesc
DeviceDesc = REG_SZ, "RedGi3rl "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Legacy
Legacy = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Service
Service = REG_SZ, "RedG3irl "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Control\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REDG3IRL\0000\Control\*NewlyCreated*
*NewlyCreated* = REG_DWORD, 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\RedG3irl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\DisplayName
DisplayName = REG_SZ, "RedGi3rl "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\ErrorControl
ErrorControl = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\ImagePath
ImagePath = REG_EXPAND_SZ, "C:\winnt\system32\RedG3irl.exe -service "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\ObjectName
ObjectName = REG_SZ, "LocalSystem "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Start
Start = REG_DWORD, 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Type
Type = REG_DWORD, 272
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\0
0 = REG_SZ, "Root\LEGACY_REDG3IRL\0000 "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\Count
Count = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Enum\NextInstance
NextInstance = REG_DWORD, 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RedG3irl\Security\Security
Security = REG_BINARY
实现服务方式启动
尝试调用FindWindowExA 、mouse_event 、GetWindowRect、GetMessageA等函数``
获得窗口位置、句柄、消息等,并模拟鼠标操作
(未验证)
检测卡吧、微点主动防御窗口:
(卡巴斯基互联网安全套装 6.0、文件保护 警告、主动防御 警告)
(微点主动防御软件、主动防御 警报、主动防御 信息)
并模拟操作,尝试点击窗口出现的“允许”(放行)等按钮`````
如失败则模拟“跳过”(不删除)(不经过用户处理)
否则强行关闭窗口
随后向127.0.0.1 发送ICMP数据包(试探网路和局域情况)``
若返回数据包有效,则调用IE反弹连接`
(因为当时开了相当多东西,非常卡,所以拦了,未放行)
做完上面工作后,运行%Systemroot%\system32\tmp.bat ,删除自身,销毁证据`
……………………
解决方法:
[url]http://gudugengkekao.ys168.com/[/url]
下载冰刃,直接下载到桌面,关闭不需要的进程,断开网络:
冰刃.rar 2,110KB
1、设置冰刃―禁止进线程创建―确定。
2、打开冰刃,有看到IE的进程关闭了(有几个关几个),应该是红色显示的
3、打开冰刃“文件”功能,删除下面东东:
C:\Windows\system32\RedG3irl.dat 209920 字节
C:\Windows\system32\RedG3irl.exe 266240 字节
C:\Windows\system32\tmp.bat 95 字节(如果有)
4、打开冰刃注册表功能,删除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下LEGACY_REDG3IRL
LEGACY_REDG3IRL, 把这个键整个删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\这个键下的RedG3irl
RedG3irl, 把这个键全整个删除
(注意:不要删除错了!!)
5、设置冰刃,选择“重启并监视”。(不知道有没有使用内存回写技术,用这招保险)
6、重启后尽量修改QQ、邮箱等密码``