|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j
+ e- Y6 W, G: l+ B
! F6 J/ f# u: `0 e) F9 T9 v3 e I! {! S
病毒别名:Backdoor.Win32.Hupigon.j[AVP]
8 _% g h" r6 [! G+ I4 f处理时间:
/ w! u, S Y a& n% c& R8 ~威胁级别:★★6 @3 x U' {9 a6 i
中文名称:灰鸽子变种J7 D [2 _4 {- r; |' S$ ~6 I8 v' a' ?* T
病毒类型:黑客程序
) U, R0 M/ U* R+ u7 A4 @影响系统:Win9x / WinNT. N% _0 K4 d) z3 t3 W
病毒行为:
z* L% ]' H3 g/ I) R2 p这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。* \- }6 L4 ~8 k9 D
8 j9 F/ a Q8 }) u8 H2 }5 V' L" }, s1 R# F
1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。8 S8 a% q( t# R3 v9 U
4 `! n8 X5 o; H$ X2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
* m- P* A! s( h1 x) U7 i$ @6 P%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j) 7 r/ n7 B5 V2 d- A2 L- h4 V3 o" g
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)
' P {4 H* T4 i& b l" R2 B9 e& [# g9 W% u1 R" t% ]) q$ ~; q: x9 h3 k
使用批处理文件“C:\uninstal.bat”,删除原始文件。, G8 u8 n5 x" C7 [
" A) k9 {: |) X; Z" Y3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:, D" K y# y1 ~5 \; u1 D! H
FindNextFileA
; n; u* M% _3 h' UFindNextFileW/ V1 }% M. F( Z- a. j
NtQuerySystemInformation
; f; u$ H: ?1 }' P( x2 X! ]NtTerminateProcess- _6 N$ i% i1 X, P0 @" I& u3 w' J V
EnumServicesStatusW, E+ q3 {6 n1 c
EnumServicesStatusA , j, D1 l& w5 {: t
2 D- t# |8 N1 }' O- k$ M以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。
# ?0 m8 u; p* c$ G# x) K将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。
& W3 P5 r8 ?- D' s使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。
9 w1 R. D1 \/ ` H1 G7 B: O4 J) `2 {2 Y) N1 e9 W z9 D
4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。
% N; n% g5 |% m[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]2 Y; Y5 \- t2 l4 K
"Type"=dword:00000110
3 U4 G K, a$ Z9 m" W6 v"Start"=dword:00000002
: j) F8 K2 `, v; [9 C! y* W"ErrorControl"=dword:00000000
3 }7 {: b4 g8 N7 x f4 W# B"ImagePath"="%SystemRoot%\Pmsns.exe"* X. R1 V1 g. `; M x0 R
"DisplayName"="Pmsns"
: X2 u4 V' I3 q& M6 F3 I+ U: n"ObjectName"="LocalSystem"
% m3 ^7 j- z* C6 Z) U% z"Description"="Rtrieves the serial number of any "" X" B4 U. K+ A3 K9 z
) g6 f5 I2 y, I[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]) X/ d/ E: Y- v3 h0 a
"Security"="<系统相关>". J: l8 D! P; Y% n( r' D, K! I
* X s' \0 R$ \" K/ Q[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]% u* T8 C+ O( R8 x4 H$ n- H1 k9 m, |
"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"6 X! {" [$ h; u
"Count"=dword:00000001
1 n5 _" K T' k# j5 e! N"NextInstance"=dword:00000001
8 |- x4 \! y- c5 ~5 y8 O
0 o% @3 P: t& V) [) D$ x
# s4 Z3 R- D; P. m2 t[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
0 Y- N5 ~; t' O! ~& O1 B# I, G0 V; q"Type"=dword:00000001
7 T7 m8 S: \5 }# ^6 w3 L4 |; d"ErrorControl"=dword:00000000- O% Q: v% m7 a" r, h) F( O
"Start"=dword:000000042 f5 J+ p2 `( c5 d0 Z: a5 ?
"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>" [8 E5 w v: B2 S$ X$ {# j* I: R
"DeleteFlag"=dword:00000001
$ w5 @- o$ G `4 F( u$ r9 Z. a2 t- G
! U& a4 r$ k( T- S' s4 i+ V0 C[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]$ V7 b+ q( U' \
"0"="Root\\LEGACY_MCHINJDRV\\0000"
6 z- L) X9 {$ p$ n2 D/ Y6 @"Count"=dword:00000001( W/ {; D5 y7 H& x0 {+ v
"NextInstance"=dword:00000001
5 X3 r- k$ @* Y5 p4 N0 f! `, W1 G; u1 j& N* ~0 ~* b
删除键值:
; }& e Z J3 }- `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
0 Q: K2 l5 j, [0 ~$ C% x/ w w“NoRealMode”,禁止用户在DOS下察看病毒文件。 & n7 b+ R( K1 Z- t8 h4 x
9 g/ O& q6 w9 a# `7 q5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:" P2 E. ]7 t" s6 A
系统芯片
. [3 c; d5 O7 C0 V物理内存) t. v0 k, K" P6 y. N, K: Q8 \
Windows版本$ }& ~) j" Z+ V& h+ V
Windows目录
, Q! X( f6 D8 q( T' B; f7 j; w" K/ q注册公司
4 e% k; Z4 j+ q( S3 P2 J0 d: n5 l6 Y注册用户
% i8 e$ P! V8 e( K/ f; z当前用户
8 s, h( R1 V: h0 n2 d$ e当前日期
+ }% }0 z3 z1 O5 G$ d0 P开机时间; I1 ]7 M( z# z- U8 z
计算机名称- i, B5 O$ k }6 V3 k
计算机分辨率 b5 w* Z5 z- D
服务端版本
4 r/ K4 M5 q4 P) o, E2 [剪切板内容
6 ?5 W( s, A% q/ W本地IP地址8 Q: ]- {3 i4 L# @/ y# |- p
1 n0 p) a8 w7 ~: M9 [当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:
# z( J& ]) ^9 j! A6 n6 }0 a+ Q% P更新病毒
/ R) ]7 D* K, F2 n启动键盘记录 1 y% A$ R9 c( O4 b: g- x) l
停止键盘记录 # X- N: C& m: n- J# p6 ^
结束指定的进程
" c$ x8 o2 h- \7 Z7 Y( e- k重启计算机 6 I/ e: E- I. T; e
启动命令行程序 6 \8 T1 ~! }$ p4 t* b) K* b
执行系统命令 2 i0 o B$ D3 c5 g4 ]& g0 c
获取系统信息
. J, @' p" F' Z. q! l5 u0 Y8 M( N0 \5 B共享文件夹 " p+ D4 U- C: U8 I# I0 D( j
从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发