中灰鸽子了

comcn

下了AVG，全盘扫了一下，报 Not-A-Virus.Exploit.Win32.IMGANI.k Dropper.Agent.sn , l0 n v( a! m! tBackdoor.Hupigon ' `; ^" @4 x: n: fTrojan.nineage.alo Trojan.Agent.bjb Logger.keylogger Trojan.Small.edz & j5 j. ?' ?8 J7 J3 B' s还好，只是打BF2用的机器，NOD32和ADAWARE都不报 除了电影，俺都不下载其它东西，竟然还中毒 % |/ q! K$ z2 Y( ^ P看来要多加小心才是 / R) r8 i r( _+ k/ K, B同时也有个问题，灰鸽子能绕过防火墙吗？比如费尔，俺的是 （使用规则，无对应规则时，连入拒绝，连出拒绝） 2 v5 [, D* Z$ b3 K6 u2 ?

comcn

Win32.Hack.Hupigon.j
  

& O" s/ Q' P7 y- N病毒别名：Backdoor.Win32.Hupigon.j[AVP]
处理时间：
/ Z# T5 t2 V- x& U威胁级别：★★
中文名称：灰鸽子变种J
病毒类型：黑客程序
影响系统：Win9x / WinNT
病毒行为:
这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL，通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩某些API，从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影：使用资源管理器无法看到病毒文件，使用任务管理器查看不到病毒进程。病毒运行后，以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”，在防火墙看来，访问网络的进程都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问，从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹，普通用户难以发现并杀除。


4 V1 ?, `1 [* K" E; b' s: w) x1.创建互斥量“Gpigeon_Shared_MUTEX”，防止自身重复运行。
) V5 X8 `: d3 f, X7 m; l
2.将自身复制为%SystemRoot%\Pmsns.exe，并释放病毒DLL文件：
%SystemRoot%\Pmsns.DLL （Win32.Hack.Hupigon.j）
. d) ?% j( q% c  A" Z, T  w%SystemRoot%\Pmsns_Hook.DLL （Win32.Hack.Hupigon.j）
- J; [' M' |# a+ A- T; u% \3 {
+ d4 C  J2 j$ w+ B. b- z+ r使用批处理文件“C:\uninstal.bat”，删除原始文件。
8 i! q0 J; o3 k$ Q8 ^) }, c
9 k% \" e, R- |# H3.将病毒主程序注册为系统服务“Portable Media Serial Number S”，以服务的方式启动病毒，并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩以下API：
* q. q, H& S; d5 f& KFindNextFileA
+ N! C* [8 u% t" j6 OFindNextFileW
NtQuerySystemInformation
& x6 R& i, R8 W) ^NtTerminateProcess
EnumServicesStatusW
; V7 X( W, R3 QEnumServicesStatusA
8 B5 o% x* p# U5 B# }5 u
6 a% a  d2 {& A. F% Q以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务，并且阻止病毒进程并关闭。
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”，然后将Pmsns.DLL注入到IEXPLORE.EXE进程，用来穿透防火墙，与外界控制端通信。
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。
: ?$ w& {9 a* i9 q/ z: \
' ]; o1 N9 J; h& e5 A% ^& D4.修改注册表，与服务相关，使得病毒能够以服务的方式启动病毒。
# [+ e3 O8 U% `2 b+ P& H- q% d[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
$ [- ?# [5 f! j1 G; X1 O& m# T# _"Type"=dword:00000110
; J. E' a: n6 `3 D0 Q"Start"=dword:00000002
, Q( t& a4 c. N3 Z"ErrorControl"=dword:00000000
1 `6 e6 W; _5 ~0 i2 Y0 W9 ?7 \"ImagePath"="%SystemRoot%\Pmsns.exe"
"DisplayName"="Pmsns"
: r: A! `1 Z! \* Y9 P) f"ObjectName"="LocalSystem"
/ e* ~% G9 O$ V4 t4 Y/ l"Description"="Rtrieves the serial number of any "

3 o7 K' J) y) {8 c$ E4 E3 F[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
* @; G- a! f( \2 A7 a% a"Security"="<系统相关>"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
8 g* e4 ]& w# D# \% j) y- @+ o: @

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
+ X1 L0 y8 {6 v4 z% O  Y"Start"=dword:00000004
"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
"DeleteFlag"=dword:00000001
5 Z/ z2 y1 e9 A8 j
, u2 n* m" Q0 |1 p# ?* Y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
! [1 [2 Q# P! y4 L, n2 Z"Count"=dword:00000001
"NextInstance"=dword:00000001

删除键值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
“NoRealMode”，禁止用户在DOS下察看病毒文件。

5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息：
系统芯片
) Y0 c& O4 \; G* X# {9 G. y物理内存
Windows版本
, C" |! ^5 Z/ \Windows目录
注册公司
注册用户
# I  p" X& U6 _7 d7 P' ^/ w( A- ^当前用户
: k2 t, B: Q$ D7 Z, k% u当前日期
开机时间
- z% Q: a- V4 z; l7 k+ L' j7 F计算机名称
8 Q* k2 d% E( n' n. v% e6 Y! _计算机分辨率
服务端版本
! z8 A2 D, L  H剪切板内容
1 ^' M4 [/ a& X# k本地IP地址
, P2 H/ ?1 }5 i: ~4 Z
当控制端连接到中毒计算机以后，病毒可以执行以下远程控制命令：
( l6 c* d8 W8 Z# C$ o更新病毒
- g5 {# {; F; ^% K启动键盘记录
停止键盘记录
  d/ c( ?& Q9 r2 O结束指定的进程
重启计算机
启动命令行程序
+ n9 I) N1 z1 {执行系统命令
) M& n  z' T2 c6 E# q- ?" s获取系统信息
; P$ G9 }  i  ?2 }+ N共享文件夹
从指定的IP下载文件。

comcn

虚惊一场
1 E" Q0 M0 h6 b' u* W- A, C那是木马杀客的特征文件