|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j6 w" ~8 l r8 a3 {! ]
- I: _ x i& L1 {3 V
2 z0 Q% b( [) d. X; c病毒别名:Backdoor.Win32.Hupigon.j[AVP]7 e, F) Y6 m6 F" P" _0 G
处理时间:9 w% C& N( v& E5 P- J* c& ?3 m
威胁级别:★★0 _1 c& j2 m9 N4 g+ e
中文名称:灰鸽子变种J
% s, g2 J7 a9 T+ t病毒类型:黑客程序
1 b, D; o3 \. X3 ?( G) D影响系统:Win9x / WinNT: j m' ~$ j7 m8 Q
病毒行为:; H& v4 k6 t" ^4 F8 I
这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。
% q+ G1 @# D! V1 G, [ M2 P
1 Q% G& t. O! G& K" o& u8 D1 p6 m) \& |7 P0 Y
1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。% }3 o: l8 V' m5 @+ K h* \
6 S; A# K" j1 G! B$ I' y! `$ n
2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
; w* ^; ^/ y2 r) `%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j) 2 g! a7 y- {5 V* y& a0 d/ ^, \4 z
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)
8 Z: J/ t3 E" h% r+ A3 [% C' d0 R! Z$ N# U8 j( X
使用批处理文件“C:\uninstal.bat”,删除原始文件。
, W& K4 t9 n# f. f! N: y. X( V% H: h! l( x4 x f
3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
5 x$ Z/ b" L, H% R( a) V+ W9 Y1 ^FindNextFileA6 u* X0 d) k3 {" k$ i* N9 x( o
FindNextFileW* X, y% {$ {& R8 p1 H
NtQuerySystemInformation
6 ?& g$ R7 p% k8 ]NtTerminateProcess/ t8 X, ^3 H0 @4 L
EnumServicesStatusW9 w h6 h+ k1 C! u C
EnumServicesStatusA 2 t. \% E0 p. E# q; t3 i, {
9 R" `1 O8 p9 u0 \/ o& f" O$ @
以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。% t F% G7 S1 s! x J+ ]. H1 N
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。
# S+ l1 d- M6 C: G使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。$ h* r# o# v) {) o9 Y# B- `/ t, _
- I! Q8 h! T2 v; J: L0 }
4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。6 S d9 b. t9 L. g* {$ X
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]7 @+ q3 ]9 x# p- X
"Type"=dword:00000110
1 t; R, b' B' a8 B+ A& U! {! f. u7 {"Start"=dword:00000002
' ]7 w0 I7 e6 C( _, T5 Q"ErrorControl"=dword:00000000
/ C- q2 }5 ^. o6 Q"ImagePath"="%SystemRoot%\Pmsns.exe"
* j: m( w" [) f$ T1 b7 ?"DisplayName"="Pmsns"1 Q' v; w1 b1 l$ B8 C0 ~& m
"ObjectName"="LocalSystem"( }3 [8 ^2 N9 ? m G
"Description"="Rtrieves the serial number of any "
) @) w8 F3 y, b9 f3 J$ F
/ [& u) ^: V' E[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
. g8 C/ ^& z9 y"Security"="<系统相关>"3 @1 [& C# ~3 A0 _
: G, `' T: {) e4 z% [) f[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
9 E& d- C- T- G5 t"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
* Q$ W5 N7 v' Q"Count"=dword:000000019 p( K" o( M8 _, R3 H4 j
"NextInstance"=dword:00000001
1 M" ~2 k& |/ P: f) f9 T1 L
- Y, Q% h+ p$ c6 r+ F, T$ a. E9 G
% [3 R6 f5 u& B4 N[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
! K% a# c0 [" E6 k; V' J& A"Type"=dword:00000001
& L1 M. x8 f6 M8 |"ErrorControl"=dword:00000000
/ E( g x* B1 q, ~3 f"Start"=dword:00000004 o1 }" V; ]0 {" _- |! }# d# [
"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"( V/ X- l4 x7 a2 K& r
"DeleteFlag"=dword:00000001
' q X6 M# h }3 s5 z* ^" V' l' u. `
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]4 S6 u% ~ A" @- |
"0"="Root\\LEGACY_MCHINJDRV\\0000"% \& x* {& ~) e9 B! d
"Count"=dword:00000001; P6 h( l7 _" n9 D3 F
"NextInstance"=dword:00000001
* F: {& d y9 R1 H& R4 _2 Z6 N' f& |* F2 X; o4 I$ _
删除键值:
" f, Z" B5 S8 N( MHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
9 e0 } E& y2 B1 \“NoRealMode”,禁止用户在DOS下察看病毒文件。
9 ` B% x# n, k0 G
+ g9 U3 M, @- q0 d! m# D5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:
8 d: @1 t% C# N2 O& y9 s" ?系统芯片
" e- s2 d; @) o* A1 l4 B物理内存* {; {) D- d4 f
Windows版本
* a7 o, P( X! ]Windows目录5 s4 g; p2 [# p4 X; |
注册公司
# _& I- p% E9 d/ K- i注册用户
- o+ z4 r* S0 c, G9 e当前用户
) E8 H7 g& a9 o2 ^6 t" Q2 \当前日期. H' V1 f* ` [! Q
开机时间7 `% N/ u$ U4 p/ r
计算机名称; I! ^3 C2 Y$ Q8 u6 t! W4 B4 w
计算机分辨率
. v$ ^* V( Q! l( u G服务端版本
# {! y) }. q4 x( E; K& L% W! U剪切板内容5 e' w: K- ^; [$ V
本地IP地址
3 ^1 C9 J$ S+ ?8 b* c7 s' J7 x9 |" F, Z
当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:
* }: I; W0 u( H" Q( |更新病毒
8 }. @2 M/ u2 h+ F n0 m) ^$ i4 w o启动键盘记录 ) }8 c8 n- w. p: Y( H
停止键盘记录 & W' P6 Y d( C4 h# O2 U
结束指定的进程 1 l. J& v+ i4 o T; e
重启计算机
8 K8 y! E4 f) D启动命令行程序
$ g+ O4 U4 l8 [: B; ]执行系统命令
( `! W/ B' ?1 ^' z1 b. c" a获取系统信息
% X8 [9 Y7 O5 I3 ?6 K" S0 q2 D共享文件夹
3 Q2 m# Q' Z( B( y! _, P从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发