|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j8 P6 @1 I% ^1 S# U4 g
+ H: a( u' v( Y% c. W6 x5 @
r' M* c5 j! n1 r# _7 d+ U. T病毒别名:Backdoor.Win32.Hupigon.j[AVP]
. Y. Y, O5 t) V- g/ K处理时间:4 J3 j. N! [$ M; G
威胁级别:★★. L6 `- l# v7 ]; I, ` t5 |
中文名称:灰鸽子变种J* j3 U" ?8 y/ D" M: Q' Q* t: W
病毒类型:黑客程序/ ~$ g5 j( B0 s& O- i3 [' j9 p; L: O
影响系统:Win9x / WinNT' F9 Q0 F, P3 K! B1 a2 Q$ l
病毒行为:
3 d* i5 D- s) H2 |5 y这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。. @& l/ o# v8 a
* Z8 a7 w4 a! K# Z6 j9 Z! Y. Q5 T0 C, R8 x# U4 M ~. M
1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。
4 D! V3 `' }3 a1 c
* H7 R( h( p0 R8 a) ^. l/ `2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
/ f! |2 i6 N% ~2 K* i6 k: y%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j)
, X8 r& _( @+ q: \' H" t%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)
/ j5 T2 j8 a* \+ w, [8 ?2 i7 N8 }, N% } t+ s5 y. X
使用批处理文件“C:\uninstal.bat”,删除原始文件。
* {6 \' C: t) q4 _+ O1 `9 P! ?( y7 c8 _$ J+ G1 d
3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
5 ~8 I8 m' l: ?5 D, i1 t7 kFindNextFileA* Z4 n7 n2 q2 x* e
FindNextFileW
. J& r2 r* ]4 _& Z: tNtQuerySystemInformation
) l; c# ^2 C2 S! K# PNtTerminateProcess
' N% v! _* |4 G4 f O/ i5 OEnumServicesStatusW2 g) j! ~+ L$ }$ s
EnumServicesStatusA
6 Q- R/ h# ~% {9 @# b: z1 i
$ W5 T# v! F F2 Z以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。0 W7 ]4 W5 \; M* U
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。
/ i9 w' k6 [3 ?3 K% |/ I* A3 g使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。& `2 g1 P5 V$ o3 p5 X7 w, H
+ V; |4 q+ L$ n4 A& Q* |) o z
4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。) |# S/ w/ x2 m/ C: j. J
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
4 g$ G, F) D& F& {! e) `"Type"=dword:000001108 n$ v, ^& c" u( E0 ^. I- |: @7 |
"Start"=dword:00000002
) ^" P, m$ p# k/ w# o# B"ErrorControl"=dword:00000000
. F$ O. L% Q O4 @7 p4 l"ImagePath"="%SystemRoot%\Pmsns.exe"
& E- ^. h T3 Y3 [" c: ?"DisplayName"="Pmsns"
* u9 I/ Z! L4 M( Z8 W C8 q1 L"ObjectName"="LocalSystem"* p2 ^8 E/ U; E3 s. T
"Description"="Rtrieves the serial number of any "
5 l3 K( a) O- X1 o! |8 y) @6 C) H% ]" G
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
, q! K$ u% l+ w/ B! `1 {5 j"Security"="<系统相关>"
% J/ M2 u- O6 t: l9 E
0 L" L' U9 O# H9 B! O) D( z[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
3 U" V1 R3 {+ j- x% W) R9 X"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"9 V' f( U; c: a0 y& R$ u! H+ L
"Count"=dword:00000001
% K \& v7 w" [; e"NextInstance"=dword:00000001
" R, s- N R& j1 Q2 L& v6 U0 u; G4 A/ e6 e5 [' r; ]8 k
! Y. }0 p I7 E+ D7 {0 T! \
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
1 y, G) M: g; [3 P8 }$ p' m"Type"=dword:000000018 d! ^6 D+ `9 r/ ~& i4 W
"ErrorControl"=dword:00000000
J6 @3 C# P1 [/ l7 c"Start"=dword:00000004) w# ]" Q( N& j" E4 m
"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"8 l: H8 M( _. T1 _
"DeleteFlag"=dword:00000001) R$ _' L( `; a [' W
5 I( Z8 z7 [: p J4 X[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
& l6 P& y+ v; H3 G"0"="Root\\LEGACY_MCHINJDRV\\0000"# U8 z- H- g8 t
"Count"=dword:00000001
4 g% |# Q) w+ v! u& X" g* ^& p"NextInstance"=dword:00000001 R* B8 L: P0 u' G
% B, k. q( n0 K- V$ J2 y& u( `
删除键值:
" B" q" l3 G% C# B$ }+ V6 ZHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
! \8 ?; Q# w) Y$ f: e6 o4 Z“NoRealMode”,禁止用户在DOS下察看病毒文件。
c+ `3 [5 N3 M/ U# Y1 G* m5 h$ ^" g6 c
5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:& E& ~0 ?* H1 i; m+ N2 J0 ?
系统芯片
" A/ c# y$ O; ?% l物理内存
4 i3 e* o1 \# ~Windows版本8 U. D9 j% ~7 r1 H0 E+ Z9 w
Windows目录
( s$ h8 [; p9 N+ }, n* y& Q1 h, P9 v! z注册公司
( }$ H7 \% U j3 C$ `注册用户8 `; y; a, ~" D Y# z$ |0 C
当前用户
: J% @) s5 l9 s7 l% A当前日期
+ n) v4 [% W F' Y2 f7 c, H- J! H. B开机时间4 F0 a6 b& Z$ W$ |
计算机名称
! n. Y; D0 r+ [2 Q) h: }% c计算机分辨率
5 }0 V8 l& D1 T8 K/ E0 J( T服务端版本9 I. ]$ z/ C+ \
剪切板内容, X. v0 X" x* s3 D# _$ K
本地IP地址( F# H3 O! C5 Z) c$ b$ {
6 J7 K4 K% w3 _1 ?" z) @# n }当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:6 `" e0 c4 e0 S" H( v2 p
更新病毒 * S; M% S) h1 _% y$ \* A1 [4 N
启动键盘记录
2 I( Q4 b. Z1 o. \2 @+ [: U5 [停止键盘记录 ; j' L: [* F5 n* B# P) [
结束指定的进程
0 `$ c2 p0 o( z" K# {% @重启计算机 % v! I, o+ H: t/ G% L
启动命令行程序 ^7 s. u$ |% q t! ^- H8 P
执行系统命令
7 F5 c/ Z5 v- o) h( L获取系统信息 1 y4 g9 Y. I; E- _8 ?" b8 A2 M$ W. `
共享文件夹
0 \ |7 [; M3 T4 V o从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发