|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j
9 u/ L& K7 ?( T* x8 C
: d8 v" m; x( X$ U3 n+ ?; `9 ?+ Q( t& l' l R
病毒别名:Backdoor.Win32.Hupigon.j[AVP]
7 u+ p0 M; t! F2 j6 W7 k. U1 C8 M9 i处理时间:
# ^. L. y8 [0 X威胁级别:★★) p% S6 `( v% T C h& ^
中文名称:灰鸽子变种J `/ j7 v' q: }- |3 ?+ `& _2 j/ d
病毒类型:黑客程序9 t2 n$ d& f3 k7 G; _% w1 M& ^
影响系统:Win9x / WinNT1 z$ f7 w! B8 ^8 i2 h
病毒行为:
5 ?5 S- h) s* S5 L这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。2 l9 h$ B* E6 `1 Y3 Z
- `6 \5 `* i4 T
; f: n2 T0 O! v- l4 `4 A' N1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。8 m: H# L# `- a
; m' ^3 }4 i& m. G: K; b3 k
2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
$ F& {2 e; [+ P4 f6 J ]! z5 }: @%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j)
; X" [& _) p3 E) Y [+ U* D/ }& T' X%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)5 R3 z+ `2 a& K5 y+ D) J
3 c, H' q- N) c8 w3 X
使用批处理文件“C:\uninstal.bat”,删除原始文件。
" M/ {, L B: t
5 N; w2 _( S" [: W. E- V) i: v3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
v K8 {9 g- I2 j! [# V! EFindNextFileA
9 d6 G# Z$ g" M$ ~6 E6 FFindNextFileW" }8 f% ?2 D |; Q% X3 Z, i* m
NtQuerySystemInformation" s' |; E4 P6 b! w# G* Q8 i* V
NtTerminateProcess P; ^9 }) D$ \+ o6 e
EnumServicesStatusW, ~- F! J5 `+ n6 x9 S( [
EnumServicesStatusA ; i! f" [$ }' v: m b+ t* i
6 a- Y, N7 \7 f+ \$ a
以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。0 D9 s- L9 U3 W/ k1 C; }$ A
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。6 i; l5 ?5 A5 W+ k: Q
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。2 C" ~2 I1 _$ q8 [" T
0 [) r7 \# F/ A3 d2 F
4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。
! Q$ d0 n9 y8 N" C. X[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]+ M; p* t8 Y+ T W/ Q) e
"Type"=dword:00000110
0 w6 v$ m. x2 D- A- |"Start"=dword:000000022 C* y4 g" d$ r
"ErrorControl"=dword:000000000 z9 I2 L* ], ?$ m/ X. _5 o* S
"ImagePath"="%SystemRoot%\Pmsns.exe"
! f F, k4 h) n' Q0 }* @/ x"DisplayName"="Pmsns"
" |* U3 y# I0 \6 c5 ]"ObjectName"="LocalSystem"8 [0 I4 H" q. ?7 B" X
"Description"="Rtrieves the serial number of any "# I( t/ n6 n' Z1 z9 v
# m0 |. p1 b. U9 w: l. [
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
9 O+ Z A) Y( K* W7 M3 p$ w"Security"="<系统相关>"
A: S+ h3 [3 H% A1 Y! {: u# v/ m8 r
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
" n- G8 S- `9 m6 r1 }4 n"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"2 u0 ]% p* \2 `
"Count"=dword:00000001
1 H% ]+ v* |+ X8 |8 T U"NextInstance"=dword:00000001
$ d/ m. p. Z; p P; U: M
! c1 ?6 R T o% s2 }1 Z5 b! }; A( w- C8 |- ]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]3 F) o! X+ @ o$ @" b& t; e
"Type"=dword:00000001% q% v8 Z3 }6 J% j' t- R, a5 e
"ErrorControl"=dword:00000000
4 G3 j1 ~: S# ]: F" |"Start"=dword:00000004
8 y8 q% i$ G2 `0 i/ H H"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
( G) r; w$ s; b7 r5 z* j"DeleteFlag"=dword:000000012 f7 w7 p' H5 Z
* S; ?( P& P! C3 f. B
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
6 i9 D9 C6 P0 w) t"0"="Root\\LEGACY_MCHINJDRV\\0000") M* G, F7 ]. Z/ I
"Count"=dword:00000001
' Y; _0 V: R v' q; r5 l. S"NextInstance"=dword:00000001- K+ @% u$ ]$ q- @# x
* _, r: B( {( S" w4 o0 n- K2 E删除键值:' Y2 h6 B7 T3 S' V) E# B
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp/ B; C( E& x1 A5 j2 }
“NoRealMode”,禁止用户在DOS下察看病毒文件。
0 u* H: ~1 F6 J( k( Z( V8 h% Z% i& f9 c% }' e- m
5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:$ J8 U( O2 r/ f( D2 q4 p" n( F
系统芯片
3 a) `8 _* w( H0 T* ]物理内存
% C# P# _4 ]9 j: ^8 S- Z" ]9 KWindows版本
) R( Q' `# l5 ~9 d ]' G# G X% xWindows目录4 Y4 K3 H& `2 z" [/ N; Z" i
注册公司
+ a7 p: S: g7 B- `7 x' D注册用户
/ y+ o: R i' {8 `9 R4 q7 _当前用户, P" G5 }8 O* j# E2 H2 e% H
当前日期6 P) S0 X/ |- S' Z) s {% |* b) w
开机时间: ~8 Y8 f$ M, z B) x
计算机名称
/ q' R+ h1 P& {; Z% G- r4 E计算机分辨率* @; P9 ?5 L7 F+ Q5 L
服务端版本
. i s" \) f2 t( ~3 X. ]# W剪切板内容
* u4 O0 G! i3 r* \: O e* y3 q本地IP地址
* |. k) j1 C+ L8 A6 F! \2 o) R# ]" o. x7 A
当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:7 _/ ?/ \6 B# m& B
更新病毒
* [+ n- c% K2 @启动键盘记录 : k4 V3 N9 e; [3 F8 n' `
停止键盘记录 8 |5 ?4 ?% g7 P( B/ ~* Q
结束指定的进程 ; {1 |3 W8 ]2 B7 [
重启计算机 % |( S$ r, p6 C4 f/ s Q( `% |
启动命令行程序 , O2 D0 h0 t; F6 s' G
执行系统命令 $ t& t3 R. Z% a- a% H* H
获取系统信息 " v$ e; o' {) q+ n2 @
共享文件夹 8 z$ n- F4 m" _# T) e
从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发