CSNA网络分析论坛»首页 流量分析 网络分析 可疑的数据包,是什么病毒?
返回列表 发帖
查看: 2772|回复: 6

可疑的数据包,是什么病毒?

[复制链接]
sungoku
发表于 2007-3-22 20:42:05 | 显示全部楼层 |阅读模式
因为下载了一些软件试用,感觉系统好像不太对头。于是打开NOD32对C盘进行深入扫描,倒是没有发现病毒。
不过在扫描过程中,有一行错误信息引起了我的兴趣:
           C:\WINDOWS\FTP - 开启 (档案被锁定)时发生错误。 [4]

奇怪,我不记得C:\WINDOWS  下面有FTP文件啊,而且还没有后缀名,而且居然还是被锁定的,也就是说有程序
正在使用这个文件。
可疑!!
于是进入C:\WINDOWS\  下面寻找这个文件,怪了,没有啊。显示隐藏文件,再找,没有。显示受保护的操作系统文件,
好了,这下出来了。好家伙,还装成系统文件了,不过创建日期出卖了它,果然可疑。
用Unlocker查看是谁在用FTP文件,奇怪,是iexplore.exe,路径也正确 C:\Program Files\Internet Explorer\iexplore.exe
不管,先解除锁定。再用AVG Anti-Spyware扫描这个可疑的FTP,哈哈,这下报警了:

---------------------------------------------------------
AVG Anti-Spyware - 扫描报告
---------------------------------------------------------
+ 创建时间: 19:52:10 2007-3-22
+ 扫描结果:

C:\WINDOWS\FTP -> Backdoor.Hupigon.awp : 已清除并备份(已隔离).

::报告结束


好像是木马之类的东东。
不过这还没完,这个东西是被iexplore.exe使用的,可是在进程管理器里面却没有iexplore.exe进程。
幸好我还有IceSword,用IceSword查看一下进程,呵呵,果然,有一个iexplore.exe进程在隐藏着。
不过这个进程怎么看都是正常的,显示的地址也就是C:\Program Files\Internet Explorer\iexplore.exe
而且我无论用杀软怎么扫描都没有任何的报警信息,真是见鬼了

这个时候,嘿嘿,我就想到了我的科来,赶快拿出科来,使用本机MAC地址过滤数据包,只抓本机的网络数据包。
果然看出了一些不对劲的地方,我的机器不断的试图和一个某个网站连接,想要这样:
GET /bbs/ip/ip.txt  
并且端口在不停的换。
这个我真的搞不懂了,我把捕获得数据包放上来,希望能够有人知道这是怎么回事


期待牛人出现!



我把AVG anti-spyware隔离区的文件压缩放上来了,包括我的IE,大家看看吧。
对了,我的系统是WindowsXP SP2,并且开了自动更新。

[ 本帖最后由 sungoku 于 2007-3-25 11:12 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

abitggmm
发表于 2007-3-23 08:47:02 | 显示全部楼层
你机器的病毒还没清干净,建议用aports(Active Ports)和procexp.exe查看,究竟是什么程序在作怪。
当然也可以用netstat -ano 得到,是什么应用程序在往外连接。
回复

使用道具 举报

wangyun522
发表于 2007-3-23 09:27:07 | 显示全部楼层
大致应该可以知道,Backdoor.Hupigon.awp 这个程序调用IE获得http://www.apg.cn/bbs/ip/ip.txt
我觉得极有可能就是所有中招机器在那都有记录,攻击者只要查看那个文件就知道谁中招了,但是由于病毒主体被删,所以。。

你可以这样查看,一是查看IE的加载项,先都禁用试试,重启,看还有没有连接数据包出现,推荐用瑞星卡卡扫描一下
二是用进程执法官看看那个隐藏IE进程调用的可疑Dll。
回复

使用道具 举报

sungoku
 楼主| 发表于 2007-3-23 13:21:08 | 显示全部楼层
感谢楼上两位的分析。下面播放最新情况:
我后来直接用IceSword把那个隐藏的iexplore.exe进程结束了,之后就没有那些数据包了,重启之后再用IceSword查看,发现没有隐藏进程了,也不再有那些数据包发送了,难道已经干净了?

另外,Backdoor.Hupigon.awp 我查了查,好像是灰鸽子,不过用各大杀软的最新专杀工具进行扫描,没有发现鸽子。
回复

使用道具 举报

SuperMAN
发表于 2007-3-24 23:00:21 | 显示全部楼层
虽然用杀毒工具杀不了,用科来查找到问题的蛛丝马迹,可能是新病毒吧。
回复

使用道具 举报

sungoku
 楼主| 发表于 2007-3-25 11:15:18 | 显示全部楼层
谢谢各位的帮忙
那个,我把AVG anti-spyware隔离区的文件压缩放上来了,就是那个被杀掉的FTP,另外还有我的  IE ,我都压缩放上来了。

PS:那之后到目前,我的机器暂时没发现什么异常。
回复

使用道具 举报

twoeyes
发表于 2007-3-25 19:59:41 | 显示全部楼层
楼主解决问题的思路很清晰,值得学习
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表