|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j
$ \" s4 ]! k* u" J( B/ K
0 i! l$ i9 B$ X) f
% g4 W( [ q) S w# q病毒别名:Backdoor.Win32.Hupigon.j[AVP]
* m1 P' Q' V- i处理时间:
" k+ t, I5 k! z' x6 v" i6 _8 B威胁级别:★★+ x$ I: B* r- }8 c
中文名称:灰鸽子变种J
) ~5 J4 P) f! K7 u" \病毒类型:黑客程序
! U5 A0 Y$ }; X* w1 v影响系统:Win9x / WinNT
& L) f& a9 u1 j病毒行为:
- [7 F! X4 D6 }+ g3 s! A这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。
* b5 ?9 X3 ~. ]9 w$ w9 B. A. p E, C/ Q. v4 J9 z& G, j& w
6 B7 y* l) N4 S; K$ J
1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。/ l) H& b% G& n: g' R
& a% i5 o6 \ A; o" V
2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:$ o- J" A* G3 g; V% `4 N
%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j) 5 D" O7 C3 J( ~6 ~
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)
6 D T9 [1 N' G L, R5 ~5 V
$ f8 }+ H" x7 N) n E使用批处理文件“C:\uninstal.bat”,删除原始文件。
) P* D3 z4 L6 n: p5 ~" p/ y4 O, e) e# p1 s ]( b
3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
+ u/ d- T) n# y# W; DFindNextFileA
& B4 g* U9 A2 a* Z: U' J# O' ~( ZFindNextFileW& e6 |7 b9 r2 Y6 l& d. j' p
NtQuerySystemInformation$ n2 t+ e7 p4 c7 j2 z( S; g1 |
NtTerminateProcess
& V3 c0 X! W' }EnumServicesStatusW/ T& b( D+ B6 U6 N2 u( V
EnumServicesStatusA
* a J# a& @/ p' C
0 F, V! A1 E1 I4 N' Q以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。
) z. R( V6 h" N( S* f; Z将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。
* n N! R! [: M使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。
8 c( m% ]+ q% d+ Q1 B
0 d4 i, d- c4 h% h1 z; P, N) E4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。: S% {* ~+ H" A# j5 u
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
, H: t7 i5 B$ M Q x ]9 h"Type"=dword:00000110& O, l, I5 b7 o) U( g
"Start"=dword:00000002# V, O# D' i" c# T/ h/ E1 c
"ErrorControl"=dword:00000000
$ h) Q5 Q9 F* h( L. ]" n) f, H6 {"ImagePath"="%SystemRoot%\Pmsns.exe"3 m& v1 N% R$ f. t7 l* B! Q
"DisplayName"="Pmsns"4 v, p; S5 t* ~' x( W/ H/ h
"ObjectName"="LocalSystem", p- s+ Z% S0 V3 c" V/ A7 Y
"Description"="Rtrieves the serial number of any "4 w+ i6 m+ I9 {# m" D5 X
3 Z& B9 R% q# w o/ C[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]1 m" ^! y4 f& r1 ^" f6 i( h+ K
"Security"="<系统相关>"' X) f( m$ N6 y
; L \) [1 t/ G9 u! z; ~1 H. ~
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
8 C# k' c& V* B1 D1 o"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
& x" h" F! V) g+ H+ J"Count"=dword:00000001
6 ?9 j4 F" J" |1 |"NextInstance"=dword:00000001& G! _) f# O/ ]; x" }: i
5 S- Z1 ^( d3 d5 `8 h
6 _; `, A: `! _+ [# R[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]0 |2 C; F' ~2 B+ Z; @
"Type"=dword:00000001
% S) |. E0 s5 m"ErrorControl"=dword:00000000& K% d( r5 B/ q: N7 }; B* w
"Start"=dword:00000004
; m: a6 t: L( h/ T& c' ~"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
$ ]" t% E/ Q+ F2 a/ {5 J4 ]# ~3 V"DeleteFlag"=dword:00000001
* P' U! k+ p8 o! K e
. [! y- m* Z+ l+ r% C# o[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]' T6 O9 ~' N8 A9 p( b, O
"0"="Root\\LEGACY_MCHINJDRV\\0000"7 M. ?$ W6 D1 U% ~8 Z4 D
"Count"=dword:00000001# `6 r" V% w, x7 j
"NextInstance"=dword:00000001
: Z3 G9 Y9 r `. _' T* X+ @' O: }- ?/ B
# o) ^ W. ^ O+ E删除键值:
" ?$ [. ~0 \9 U# {) T2 rHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp6 ?8 v' M+ B$ B7 ~
“NoRealMode”,禁止用户在DOS下察看病毒文件。
4 b& B1 }: a, m0 C( I) Y( B$ F; C* Z7 I' a) N, D
5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:
( p. y6 J$ z0 J) s* x7 S系统芯片
E0 K" P- [5 e) E物理内存5 X0 ~# N' n0 _$ d" c; D
Windows版本
( k3 l" m: }; x r! ~, ]Windows目录
0 ~8 g! w- c1 v& M4 c注册公司
$ n7 D1 X, R* ]! K: g9 \- Y! I注册用户
% M. _1 f8 s0 h* O0 p当前用户" o4 J: j4 _- c* G1 p
当前日期
) c- l6 {' m8 A+ _开机时间 m; N3 Y) C, h; K
计算机名称5 J' g* g4 y0 {& r
计算机分辨率: n" I' Q3 J5 `" A8 Z( S" S
服务端版本
, f- h8 f3 l( I5 {$ S8 R% q剪切板内容' P& e( N$ f# |1 d
本地IP地址8 j( b" k- }" p8 S9 Z7 f; V
9 f/ F" m0 z3 e- S5 M3 W1 \当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:
9 }- s- V" l1 x7 B4 G5 `7 W7 w更新病毒
( ?# ^) v! I/ A" v8 E% l启动键盘记录
) }) J e0 i& N" K q' l! B% w停止键盘记录 ( ]% u; R8 v, V. f, w
结束指定的进程 / o: \, p& ]* c) N, }3 s
重启计算机
. b5 ?! R7 p! V- u- l" T启动命令行程序 , J& Z. P3 r9 s: S
执行系统命令 " p3 o9 L' u+ z" [: H) y8 v, y
获取系统信息
3 U# T) ]9 D* B1 S9 x9 H9 v+ C共享文件夹
) n" ?- T- w: i从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发