|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j4 k/ c' X; f: P+ V4 @& m# T
! ]% W# h! @$ Y( L% z/ l: X; r! ?
# I$ T5 z) y: |1 I. k$ z2 j病毒别名:Backdoor.Win32.Hupigon.j[AVP]
# \. @+ K4 G" x, ?+ v% C F4 _4 U4 r% Y }处理时间:& M" _+ ]0 O" @; I9 e2 g( a% `1 V' L
威胁级别:★★" B' R+ W' T$ k2 [- L+ M
中文名称:灰鸽子变种J) ~6 i: X/ ^- C1 |7 I
病毒类型:黑客程序
, Q8 ~- A$ ~: j% Q2 w! r5 C影响系统:Win9x / WinNT4 q- _8 y8 h) p+ o- V- ]. y5 c8 O0 H2 v
病毒行为:) d, J! c) a5 I, e8 l
这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。
& u; r# N0 a7 ?8 a6 t% N
2 t4 M- |9 z/ A4 q# f$ d
: t& v% K# K h" y d! Q7 v1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。5 t. S, a2 s A5 f7 d7 f: ~0 z
& I7 }8 R i0 r# N2 C
2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
# z! N4 v5 \" \%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j) , \. A! L8 B+ L6 J' E2 x5 z; k! X
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)# l! f/ S/ h3 b; H
: C$ K6 [+ {/ s0 p2 s& Y使用批处理文件“C:\uninstal.bat”,删除原始文件。
8 \$ z, ^, Y) b6 r6 \7 m" u( ~# W5 y( W' L5 {0 s* `( H; m
3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:* U& [8 t3 D5 I, k) P
FindNextFileA1 l9 u" R p) `" i- E$ Y7 ~
FindNextFileW4 x; [2 N, t4 G% n
NtQuerySystemInformation
8 E( }9 ^2 ]5 M T; U! H% ]9 X6 b; f+ KNtTerminateProcess
, I) p5 K" q; JEnumServicesStatusW- r; h( N, W% }: x
EnumServicesStatusA
- |' L) N5 u) I( u/ E3 S
' Q) e5 `$ I2 O: \; A: I以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。* e8 x1 i S, H- E
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。6 F9 y G! d8 R5 A
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。8 Z( s3 b6 t1 l% F9 d+ S- @
# X% ~6 Z) t7 a4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。
9 \2 L$ q- [& Y3 [2 N. g8 P, d[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]- W5 k+ _. \3 m; j5 Z+ C
"Type"=dword:00000110! c; T% `. M7 \- Y A/ Z @8 G/ ?6 v
"Start"=dword:00000002
- w! _5 a5 C4 y"ErrorControl"=dword:00000000
+ R) I3 I8 X7 z: \7 J"ImagePath"="%SystemRoot%\Pmsns.exe"# l1 b; o: l4 ~0 ?* B* K5 D8 b5 Y/ |
"DisplayName"="Pmsns"9 r: n& t7 \& D* _
"ObjectName"="LocalSystem"
4 I: I2 y; d) ~6 N"Description"="Rtrieves the serial number of any "
+ g9 \8 u% m3 r5 u5 i( c) k0 U
" L. W' S, Z; `3 z- d* s0 q[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]/ @! c7 T8 O) |7 Z8 J/ i
"Security"="<系统相关>"4 b1 I1 K9 u5 u8 T. `
% N7 {8 E r$ i1 {4 U3 ?[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
Z" b5 t0 F8 h/ } D"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
+ {- b8 [1 K: O4 g! ^6 u. p"Count"=dword:00000001
9 K2 R0 G0 h: c"NextInstance"=dword:00000001
0 Y; |4 P: V5 [2 h
6 o# n8 X) r2 A# K; V
( D% `$ ]4 l. P$ j. ?[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
6 k }. t$ t4 e0 D"Type"=dword:00000001
+ r* g9 ^6 _& o5 y/ I* X"ErrorControl"=dword:00000000
6 z9 c2 w- E* p$ C"Start"=dword:00000004. X4 m$ C/ h/ h4 }% U! b
"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
' ]0 o# w6 V I2 \& G"DeleteFlag"=dword:000000016 q# [5 W0 a# H# z
( q9 s$ ^) g' E% v! k. ~0 q! a9 w[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
6 l( U' X+ I' v ?3 i' o"0"="Root\\LEGACY_MCHINJDRV\\0000"5 D& d/ T8 i3 t8 e
"Count"=dword:00000001
, N9 _+ |% e; d9 G6 b"NextInstance"=dword:00000001! o$ A1 T3 S3 o/ p. ~1 N% }
9 m2 b/ G9 B( a" j
删除键值:: q6 [7 y( k! w! Y0 U; `( ~7 \3 |0 w
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
* D7 X6 Y1 k* C. x“NoRealMode”,禁止用户在DOS下察看病毒文件。
E& E. A( y6 H' b" I. C D, \ d# R% A
5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:
* l( u5 }/ X1 d |系统芯片
5 ^* S: \7 q$ E- M0 ~4 ?物理内存
8 c) e9 B/ d! @) U) u1 UWindows版本
5 \5 O& l d `' m7 E1 F, eWindows目录
6 p2 C0 B/ G- [' @, l% r( y注册公司5 a+ H2 v2 f4 T% A V6 n, d
注册用户
& }; F. j( l# F3 R9 I/ c当前用户
$ Z0 s3 C( S. Q当前日期
0 q! n; B4 T. b7 {; e) v开机时间
1 L; X5 y' U/ Z% D计算机名称. h3 G+ v( h% N$ W+ N: k0 z2 e0 b
计算机分辨率# x* I) ^& g/ U& b
服务端版本; D3 F7 D6 a6 v, ~7 G
剪切板内容
& Q$ z" U( }- q% l本地IP地址+ `7 d: }8 S* w. f' S3 u) B4 x/ F6 S
0 \% r& S' l$ r
当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:7 Y, J2 I2 J8 b8 C# c( K
更新病毒
9 x& ~+ {& Z2 z" \" m) w( _启动键盘记录 . W1 Z9 b; F2 a. [
停止键盘记录
, J$ _+ `3 s8 p8 J! h# a A* o, x结束指定的进程
5 Z3 K1 ~( J( U( f重启计算机
& l' K( q$ A" w启动命令行程序
( r2 n7 g2 z4 ]$ Y, v4 X执行系统命令 + `# P a9 ?5 u: |& B
获取系统信息
, B% w% z: {" x; R共享文件夹 8 p% a4 {; L& \' M- H# D8 g
从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发