中灰鸽子了

comcn

下了AVG，全盘扫了一下，报 , T, h h6 G. {9 C% Z# XNot-A-Virus.Exploit.Win32.IMGANI.k Dropper.Agent.sn Backdoor.Hupigon 4 n( D S8 g* j0 y% _% }Trojan.nineage.alo Trojan.Agent.bjb % D m* r% m3 S+ B3 BLogger.keylogger 9 g: h" A/ q# Z, ?/ B& GTrojan.Small.edz / D. w2 f3 J! W, f还好，只是打BF2用的机器，NOD32和ADAWARE都不报 除了电影，俺都不下载其它东西，竟然还中毒 看来要多加小心才是 ( h+ m. K8 d7 |& r$ \同时也有个问题，灰鸽子能绕过防火墙吗？比如费尔，俺的是 （使用规则，无对应规则时，连入拒绝，连出拒绝）

comcn

Win32.Hack.Hupigon.j
+ ?6 a" p! U7 e9 e  
/ p! \+ l" z9 {: v3 J* c
病毒别名：Backdoor.Win32.Hupigon.j[AVP]
# i& m' X7 ^7 N% x- M/ [! |" w处理时间：
3 Y; T8 W, \2 s威胁级别：★★
中文名称：灰鸽子变种J
+ H: z6 \2 R# r$ X% G' q6 h/ \% Y病毒类型：黑客程序
; d  f7 [6 [5 `; D( n5 t影响系统：Win9x / WinNT
/ ~; P' c* O8 t, e* P' O, I病毒行为:
$ z/ j, L, G) q0 j这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL，通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩某些API，从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影：使用资源管理器无法看到病毒文件，使用任务管理器查看不到病毒进程。病毒运行后，以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”，在防火墙看来，访问网络的进程都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问，从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹，普通用户难以发现并杀除。

. G) D3 q2 j( H. ^; {$ n( `0 y6 ^
1.创建互斥量“Gpigeon_Shared_MUTEX”，防止自身重复运行。
2 Y8 i/ b' p) Y! j4 H
1 s1 U4 b9 G0 @/ N# x& O8 i2.将自身复制为%SystemRoot%\Pmsns.exe，并释放病毒DLL文件：
%SystemRoot%\Pmsns.DLL （Win32.Hack.Hupigon.j）
%SystemRoot%\Pmsns_Hook.DLL （Win32.Hack.Hupigon.j）

! I( S  e% [$ v& W' @0 ]& O使用批处理文件“C:\uninstal.bat”，删除原始文件。

. W: S0 U0 d5 \* B# }$ F7 i3.将病毒主程序注册为系统服务“Portable Media Serial Number S”，以服务的方式启动病毒，并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩以下API：
6 |: `7 o" ?/ ]: L8 WFindNextFileA
6 x8 n4 k8 ^% b% s6 |FindNextFileW
6 _, E. S5 g8 M2 p' m' dNtQuerySystemInformation
NtTerminateProcess
7 I" z% g- T- k; X2 Q+ u1 `4 ^EnumServicesStatusW
5 A. V: Y7 G( ZEnumServicesStatusA
, M  E2 h2 @+ d' s3 d( x
& U0 g/ P. N5 J; _! s/ t以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务，并且阻止病毒进程并关闭。
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”，然后将Pmsns.DLL注入到IEXPLORE.EXE进程，用来穿透防火墙，与外界控制端通信。
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。
: F' C. R2 a  t8 u2 Z  c
4.修改注册表，与服务相关，使得病毒能够以服务的方式启动病毒。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
6 c, x  |0 [  x/ e$ O. P2 `7 t"Type"=dword:00000110
" m  O) n! o- D, B"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%\Pmsns.exe"
5 y# I: O& [) }9 Y"DisplayName"="Pmsns"
"ObjectName"="LocalSystem"
"Description"="Rtrieves the serial number of any "
  N0 j( i2 h" m
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
"Security"="<系统相关>"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
3 i6 H. S; U$ x6 k3 q"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
5 A! R5 d2 p6 C2 Q- N% o"Start"=dword:00000004
% j5 Z9 k8 H: p: i: H+ e* g3 w& h: ]/ D"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
"DeleteFlag"=dword:00000001
0 s  ^$ G2 h8 q- J- Z9 Z$ v" c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
7 z5 N- P" }  w"Count"=dword:00000001
"NextInstance"=dword:00000001

删除键值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
* F1 B, L4 _  e“NoRealMode”，禁止用户在DOS下察看病毒文件。

. \  b) m1 q  o9 D/ t  V5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息：
. ~. Z, B' h; e$ e7 F) @8 I+ u( W系统芯片
物理内存
Windows版本
+ c- d; q, u" ?' mWindows目录
注册公司
5 t. }0 z6 k+ o: \' e9 L注册用户
, s5 w& L7 d5 k6 z% v& P: s当前用户
当前日期
开机时间
计算机名称
/ j  O/ _* `& g8 \8 V( l计算机分辨率
+ W6 T' ?4 w# d6 o# v2 q服务端版本
( E# u1 G9 }# N# f# P0 U剪切板内容
本地IP地址
' E5 L+ ?2 H1 p. W; F3 x
当控制端连接到中毒计算机以后，病毒可以执行以下远程控制命令：
) `. G; p' T/ y5 Z; X$ y更新病毒
启动键盘记录
6 q7 d0 Z  N! i1 t) P6 I停止键盘记录
- y; B" D; b3 k& O7 u* V结束指定的进程
重启计算机
9 u7 s) b- W3 i$ \4 [启动命令行程序
执行系统命令
获取系统信息
6 h# s* U" y& u1 n共享文件夹
* j. P4 `! ^7 v7 k从指定的IP下载文件。

comcn

虚惊一场
那是木马杀客的特征文件