中灰鸽子了

comcn

下了AVG，全盘扫了一下，报 1 S$ h0 p; z. w- ZNot-A-Virus.Exploit.Win32.IMGANI.k Dropper.Agent.sn Backdoor.Hupigon Trojan.nineage.alo Trojan.Agent.bjb Logger.keylogger 0 o5 Z! k; v! V, |5 FTrojan.Small.edz 还好，只是打BF2用的机器，NOD32和ADAWARE都不报 除了电影，俺都不下载其它东西，竟然还中毒 看来要多加小心才是 同时也有个问题，灰鸽子能绕过防火墙吗？比如费尔，俺的是 （使用规则，无对应规则时，连入拒绝，连出拒绝） 1 A: K* {9 w2 o) O+ k$ T$ K0 b 7 U+ M9 L6 l1 T8 p. M1 `4 E& F, W

comcn

Win32.Hack.Hupigon.j
  

病毒别名：Backdoor.Win32.Hupigon.j[AVP]
' N$ T) t" C- U( [处理时间：
& o2 n' G5 R, {$ A' y2 i. I; R威胁级别：★★
% J5 `5 G5 j4 Z5 @中文名称：灰鸽子变种J
3 t5 n- T) Z% i6 C, u病毒类型：黑客程序
影响系统：Win9x / WinNT
病毒行为:
1 E3 I1 E( m3 D! l- k这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL，通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩某些API，从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影：使用资源管理器无法看到病毒文件，使用任务管理器查看不到病毒进程。病毒运行后，以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”，在防火墙看来，访问网络的进程都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问，从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹，普通用户难以发现并杀除。

9 d/ j8 V0 ^  H6 u( m/ m
1.创建互斥量“Gpigeon_Shared_MUTEX”，防止自身重复运行。

2.将自身复制为%SystemRoot%\Pmsns.exe，并释放病毒DLL文件：
%SystemRoot%\Pmsns.DLL （Win32.Hack.Hupigon.j）
%SystemRoot%\Pmsns_Hook.DLL （Win32.Hack.Hupigon.j）

使用批处理文件“C:\uninstal.bat”，删除原始文件。

3 C8 e6 w: }5 X3 p) l3.将病毒主程序注册为系统服务“Portable Media Serial Number S”，以服务的方式启动病毒，并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩以下API：
FindNextFileA
FindNextFileW
2 A$ ]* N! j$ s$ S& O! d) ]% X2 KNtQuerySystemInformation
* f) B/ @. m: i1 J( ANtTerminateProcess
+ z4 t/ ^3 G7 cEnumServicesStatusW
3 q, |) f( @! \- P6 f8 Z6 ?( GEnumServicesStatusA
: n* w4 i  U- C. m7 h
1 x% d9 q$ s. q3 w) |; e" v( I以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务，并且阻止病毒进程并关闭。
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”，然后将Pmsns.DLL注入到IEXPLORE.EXE进程，用来穿透防火墙，与外界控制端通信。
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。

. u3 o% |6 j* j4.修改注册表，与服务相关，使得病毒能够以服务的方式启动病毒。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
7 \. o  i# @' e/ K"Type"=dword:00000110
2 v) Q. r$ A5 B1 I3 i$ W+ o- X"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%\Pmsns.exe"
"DisplayName"="Pmsns"
5 {5 F% u3 i- C. J"ObjectName"="LocalSystem"
) @" j6 `& h9 o6 f% `"Description"="Rtrieves the serial number of any "
3 d1 k/ I: W% {8 G/ R( I
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
/ Q+ U* S6 k: s6 J( c2 m# Q: u"Security"="<系统相关>"
* t% f2 Z0 ]. S2 N
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
6 Q4 M. Q  r, H# A"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
; b% B* g. U8 x6 N/ Z( {# B9 \, S- W"Type"=dword:00000001
' a# z( M$ d* h8 T"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
"DeleteFlag"=dword:00000001
# C  z3 A" M7 ]* q- x9 H, ~! T
2 X: z3 r! F; G! }[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
"Count"=dword:00000001
+ K) j0 d1 {8 i- g" l# R* X"NextInstance"=dword:00000001

删除键值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
$ k* N1 U* O  I“NoRealMode”，禁止用户在DOS下察看病毒文件。

5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息：
" K% s1 p3 K4 ]; T系统芯片
物理内存
Windows版本
+ u+ X" Y  ~$ j) V& k7 p: xWindows目录
; f& Q  D* _" g0 B) w( j注册公司
注册用户
  L, l( q/ {" u8 i/ J+ S; n3 m当前用户
2 [: [5 ]" u' n; z" N& O7 A( _当前日期
开机时间
) `4 d1 I3 m; ~! w- G7 ]计算机名称
8 r* `7 a; f3 |, c计算机分辨率
服务端版本
* r: p2 \/ w9 C, g/ T1 y% n剪切板内容
本地IP地址
3 N5 z( I/ P: O' G/ \
当控制端连接到中毒计算机以后，病毒可以执行以下远程控制命令：
7 G" G0 _3 `- }: e更新病毒
; V) h" V# G# C# \- r8 ~% ]8 D5 i$ @启动键盘记录
& G3 p( x5 `0 K" _( |停止键盘记录
结束指定的进程
, |$ O$ d2 r, i. y7 O重启计算机
% _# H9 F7 N  u9 a+ G/ W0 ]/ P启动命令行程序
5 _/ ?" k. P- n) y  H执行系统命令
获取系统信息
% F6 v3 O$ Y0 ?( W2 r) a$ g共享文件夹
2 ~, Y0 K0 }" B) p8 a从指定的IP下载文件。

comcn

虚惊一场
那是木马杀客的特征文件