|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j
0 z6 @4 t0 V& j0 k- c , o' y: e6 U% g
1 [, ?: z, j& q; `病毒别名:Backdoor.Win32.Hupigon.j[AVP]
! S; A+ W" e! n7 J处理时间:% H. y3 Z$ P( ]& v
威胁级别:★★
3 T: N9 `5 \) H中文名称:灰鸽子变种J
3 h' y0 p# @( k: l病毒类型:黑客程序9 H0 e( U( u- L/ S
影响系统:Win9x / WinNT! I+ h% _3 d: _7 M" }
病毒行为:
& J+ u) }- w' R+ }- y这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。
2 c# z7 d: O$ v" f2 p: k% R/ m1 U8 T8 P
: w6 G9 d% m) ?2 ^
1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。5 {- s# N3 U2 b1 }
9 `! ]! T( y z) [2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
" s7 x5 Z I% O; L%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j) % i; q- ]3 p5 y3 @% K" x" M& F
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j), L/ G8 N( g& V# V( A" d
/ H9 |+ }! G8 v& z使用批处理文件“C:\uninstal.bat”,删除原始文件。. A% N( ?) y2 e' I3 b
$ x4 m! [5 i$ o# q3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
; L. g9 c" d9 [# N5 IFindNextFileA
% d% e% C3 o* I0 y% E2 K: w$ V5 SFindNextFileW
; N, T! w3 w+ e: ANtQuerySystemInformation
6 x" f, n# P2 ~0 N; [! kNtTerminateProcess, u& S( O; P9 Y' V
EnumServicesStatusW R6 ?, b# S6 |& I* ^5 A# h% H+ d. m6 T
EnumServicesStatusA
. M% u# \4 g5 c2 l* g! t0 Z) s. c- w# `9 D% [- v
以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。
/ {4 [& j; y# v' b: @& Q, a- r将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。
8 A4 ], E+ f. w1 S2 H3 x使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。4 [6 E, x7 |3 d! q/ z7 \& I
7 t2 T ~; B/ N' k) _4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。7 }) c# Y: s8 B1 L y$ M* s
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
8 ?2 w/ t: O+ B4 L! @"Type"=dword:00000110: Y0 S! H4 x5 H
"Start"=dword:000000022 y3 x8 }1 `5 r9 O+ `
"ErrorControl"=dword:00000000
& M# g: x, Y* i @ C S"ImagePath"="%SystemRoot%\Pmsns.exe" `# K: v. l7 `- L5 a' Q9 c
"DisplayName"="Pmsns"
$ N" n4 y) y1 A- r1 I3 U K; U"ObjectName"="LocalSystem" o) A: `( j. w% `% `0 T4 y6 L& |
"Description"="Rtrieves the serial number of any "' ^* i" e% O7 H$ }% W) A
$ r4 f; |8 p& Z
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]2 ?# Y8 R1 h7 ^
"Security"="<系统相关>"
: j: \2 i4 F* @
1 W, v& l1 F) T& t' Z) o( s[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
# O5 u3 x4 d2 C/ t. X7 H# ["0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"3 ]# P- b) N$ f0 H
"Count"=dword:00000001' t/ e5 e+ T* q
"NextInstance"=dword:00000001! Z) p, z/ m5 r ^6 s* t
$ Y0 q- z+ t( {( B3 s( }. ? Q
j3 H$ p' M) a( W[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
9 j( `! o# z" M9 q, n: a"Type"=dword:00000001' Q8 w9 f1 J. [# X6 X& O' v6 p
"ErrorControl"=dword:00000000
^$ E4 @9 ]( }0 M) ]2 z"Start"=dword:000000041 v5 ]! t( v( S8 b7 L
"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
4 s1 `4 S0 y: g0 B1 W! d& Z"DeleteFlag"=dword:00000001
1 d4 C/ V; y, p* E3 h- _. t' {% f, j
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum], [1 W2 b" G+ F$ ]# e# E( r
"0"="Root\\LEGACY_MCHINJDRV\\0000"
0 z9 A# S$ i' ~4 a, V"Count"=dword:000000014 P4 u# h3 y! A
"NextInstance"=dword:00000001- K1 K5 `% p P. Y1 Q, h
* a5 z% n, v# ?4 ^! j( f; y5 N删除键值:
( x3 e/ j( G- D7 z# C/ H7 d, t hHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
& g, y% V! X% e7 A8 P. M“NoRealMode”,禁止用户在DOS下察看病毒文件。
' o, C; @3 i. G. n# }
; `! a$ ~, ~- r; [5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:7 [2 G- f( z0 G% G h- r; ^
系统芯片 : t" l' O0 t6 L6 Y4 s0 {$ O
物理内存
) o [ }+ Y& ?. b0 N" V7 FWindows版本
e# K( T2 e( x5 t5 |( g- w: [Windows目录
4 `. y2 w+ Q- L# K1 c# L7 n, m) r注册公司) _2 w# x7 `* J5 S% U+ J
注册用户4 w+ J* q9 K: U9 W! u3 s
当前用户
7 i* @) Z, A' ?3 e# ^3 |8 j当前日期
% M+ k- k& A, B3 W. Y开机时间
: u: @/ q) r' a7 J. A4 p4 I计算机名称3 H i0 Z& G4 F% w" p
计算机分辨率
2 K" d D% ]0 w/ @: g# F, W服务端版本, e. G) o6 V; a9 v. j
剪切板内容! |2 r2 y. ]) o' B9 U/ a1 @. ^+ E
本地IP地址6 N0 J7 a7 Z) e U% k9 D
% S) E& d, C$ D9 B* _; o
当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:0 S. {0 ]1 C" p& a2 u7 Z
更新病毒
' H' x M. w. L9 y. q启动键盘记录 5 T: F: k0 p- X. v
停止键盘记录 ! H$ `5 p& I4 D2 C9 O
结束指定的进程 , `( V9 D' N" w/ Q2 b, T
重启计算机
# \* t. }/ Y6 T: E4 I! B) G6 t# G启动命令行程序 + {, O S3 j' y3 q
执行系统命令
# l! L' U+ @1 C获取系统信息 9 k% E6 x* \8 z, ?$ I3 a' u4 d
共享文件夹
1 Y' I# |- k% M$ g2 N从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发