病毒名:Win32.Hack.Huigezi.jn
处理时间:2007-02-26
威胁级别:★★
中文名称:灰鸽子2007
病毒类型:黑客程序
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个黑客后门,中毒后病毒在后台连接远程黑客主机,使用户主机完全受控于黑客,黑客甚至可以查看用户主机的摄像头,使用户利益及隐私受到极大危害。
1、复制自身到%windows%\G_Server2007.exe,并释放一个病毒文件到%Windows%\G_Server2007.dll.(病毒文件名可变,根据病毒生成时的输入而定)
2、修改注册表,添加服务自启动(服务名可变,根据病毒生成时的输入而定):
HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\
"Type" = 0x110
HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\
"Start" = 0x2
HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\
"ErrorControl" = 0x0
HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\
"ImagePath" = "C:\WINDOWS\G_Server2007.exe"
HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\
"DisplayName" = "GrayPigeon2007"
HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\
"ObjectName" = "LocalSystem"
HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\
"Description" = "灰鸽子远程管理软件服务端程序!"
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVERGRAYPIGEON2007
3、注入explorer.exe或iexplore.exe(根据病毒文件生成是的设置而定),连接远程黑客主机,接受黑客控制,包括:
修改注册表
浏览文件
查看系统信息
查看进程
操作窗口
记录键盘
操作服务
修改共享
开启代理
MS-DOS模拟
监视远程屏幕
操控语音视频
远程登陆
关闭、重启机器等
4、通过HOOK API的方式实现病毒文件及病毒进程的隐藏,用普通方法无法看到。
