病毒资料:W32/Hupigon.DW-bdr
| 基本信息 | |||||||||
| 病毒名称: | W32/Hupigon.DW-bdr | 类型: | 后门程序 | 长度: | 348098 | 威胁级别: | 2 | 捕获日期: | 2005-09-04 |
| 其它别名: | AVP:Backdoor.Win32.Hupigon.dw | 影响系统: | Windows所有平台 | ||||||
| 表现特征 | |||||||||
| 该病毒采用“GIF”文件类型的图标,伪装成图片。被别有用心的人投放到各种论坛上,取个醒目的名称,例如:“最美丽的问候送给远方的你,喜欢吗我的朋友”,引诱用户下载运行。用户双击后,会发现一点反应也没有,原文件自动消失了。 | |||||||||
| 行为分析 | |||||||||
| 1。创建互斥量"GPigeon5_Shared_HUI2005",防止自己重复运行。 2。复制自己为%Windir%\G_Server.exe,设置为只读、隐藏和系统属性。 (说明:%Windir% 是Windows安装目录,例如:C:\Windows 、 C:\WinNT) 3。添加启动项。 a)Win95/98系统中,在注册表键下添加数据项,使病毒随系统的启动而自动运行。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “Gray_Pigeon_Server” = %Windir%\G_SERVER.EXE b)Windows NT/2000/XP/2003中,添加下列服务,使病毒随系统的启动而自动运行。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServer 服务程序为%Windir%\G_SERVER.EXE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv 服务程序为%Windir%\TEMP\MC25.TMP 4。释放%Windir%\uninstal.bat,删除原始的病毒文件。 5。释放%Windir%\G_Server.DLL。 以隐藏方式运行“Internet Explorer”,把“G_Server.DLL”注入进去。 病毒主程序退出,在进程管理器中,没有病毒进程。 6。“G_Server.DLL”的行为如下: 1)释放%Windir%\G_Server_Hook.DLL,注入到其他进程中,接管和修改下列函数 kernel32.dll 的 FindFirstFileA 、FindNextFileW ADVAPI32.DLL 的 EnumServicesStatusW、EnumServicesStatusA ntdll.dll 的 NtTerminateProcess、NtQuerySystemInformation 目的是: 隐藏三个文件(G_Server.exe、G_Server.DLL、G_Server_Hook.DLL),使杀毒软件的无法扫描到病毒文件; 隐藏IE进程; 防止隐藏的IE进程被终止。 2)释放%Windir%\TEMP\MC25.TMP,这是一个sys驱动程序,向系统注册一个进程创建“NotifyRoutine”。 当运行任何一个程序时,都会激活病毒代码。这段代码把G_Server_Hook.DLL加载进来,保护病毒文件。 3)每隔50秒钟,访问http://76761017.126.com ,通知黑客进行远程控制。值得注意的是,由于病毒注入到IE中,病毒的网络连接不会被防火墙发现。 4)一旦和黑客建立通讯,该病毒模块会打开后门,接受黑客的控制命令。造成用户私人信息的泄漏。黑客可以对中毒机器进行任意操作。 | |||||||||
| 清除方法 | |||||||||
| Windows NT/2000/XP/2003中, 1. 运行regedit.exe, 删除下列键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv 2.重新启动机器,查找并删除G_Server.exe、G_Server.DLL、G_Server_Hook.DLL。 Win95/98下, 1.以安全模式启动,查找并删除G_Server.exe、G_Server.DLL、G_Server_Hook.DLL。 2.运行regedit.exe,删除子键 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 的数据项:“Gray_Pigeon_Server”。 | |||||||||
| 防范措施 | |||||||||
| 1.提高安全意识,不要随便运行陌生程序,特别是那些名称具有引诱性的; 2.经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级。 | |||||||||
- 上一篇文章:灰鸽子手工快速检测方法
- 下一篇文章:IIS5.0进程回收工具使用方法
- 查看2006年5月的文章归档
相 关 文 章
相 关 软 件
没有相关下载
本站搜索(搜索结果将在新窗口打开)