|
|
楼主 |
发表于 2007-4-17 09:03:45
|
显示全部楼层
俺认为还是有必要转发一下
Win32.Hack.Hupigon.j
4 M- H( Z" n t% }9 D
" ]+ f5 P# I3 _( v1 [, u
6 w3 v( i" P) ]4 B病毒别名:Backdoor.Win32.Hupigon.j[AVP]
' n& f& v+ N( ^- t/ t' k" M1 v处理时间:
9 M3 z- j3 q7 I& A; J威胁级别:★★
+ H: q! k- v* p. M$ A中文名称:灰鸽子变种J+ Q5 v T; B* o$ m( _6 G
病毒类型:黑客程序" e3 `; R) N& p+ F# U
影响系统:Win9x / WinNT
& G( Z6 F1 C4 Q0 }6 W2 v* u病毒行为:
* Z' D6 Z" c+ t6 M这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。
0 ~ F9 D( _/ e7 q) }% ?. ?
$ p/ r/ E: K0 M8 C6 _, _$ H: f/ l1 q( K" S9 H+ a
1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。
7 G, X# `! \# | E
- C- @( [3 m& i2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
0 c; q( E/ y2 r- e$ y: r$ V6 g* Y%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j) + Z* a9 \# S4 m! _$ l/ ~ i) s
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)( Z: A; O, E6 N: R& g' M. X4 W
) g. Z, o) G. s; F$ r
使用批处理文件“C:\uninstal.bat”,删除原始文件。
" N a% R: V. {3 l* c0 L, o. K! V0 P( b. e% ?8 X
3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
; G/ @5 k; f1 w& {FindNextFileA
; _: r) _( z/ qFindNextFileW, w' V; t. E, j0 r) t
NtQuerySystemInformation
3 Z$ O( @2 J" Y7 P- G; q' tNtTerminateProcess/ `( x* R4 c+ r4 C8 k
EnumServicesStatusW/ @. `5 X! w, r# \1 }# Q F) i" K: ~7 d; {
EnumServicesStatusA
2 O4 z: L# ^& l' o6 m
% Q0 ]" D2 n, ]; H5 E# m以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。% z7 R1 ]! X% A% P) C
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。4 C- g" a8 T, @! _# y: h
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。
% G9 c, n0 u+ R F
+ Q! I/ H: f. J: s* \; j8 I: F4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。) g' U8 P( p2 {
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
& e# [$ Q& R1 u/ O3 j+ W* ~1 \$ A"Type"=dword:00000110# `/ f# r1 ]* i4 j
"Start"=dword:00000002
* t# ?- O: l: K" `4 M5 ]( D- k1 W, s"ErrorControl"=dword:00000000; ?0 s( z: J0 b+ X
"ImagePath"="%SystemRoot%\Pmsns.exe"
0 E3 Y; Y; n* ^) y"DisplayName"="Pmsns"
0 F1 E. P9 I4 c+ F. Q1 ~"ObjectName"="LocalSystem"# E2 W" T3 k/ M
"Description"="Rtrieves the serial number of any ", N1 e, u0 P2 J$ O- W
1 f: P) ^' T/ M5 S[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
. V7 z* K. X9 f G, F- Q"Security"="<系统相关>"% x: | Y9 A6 C; s! J
. ]* ?2 q" N7 Q5 g; O# r! q5 G: h
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]/ ~: p- [6 |3 e3 t
"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
: I5 @# k P+ D0 S"Count"=dword:000000019 _ V% o" j' \9 t' ~& {; j; A
"NextInstance"=dword:00000001# ]# M$ b# w$ v- K3 V; G& p
' m: m% |' F; B1 _4 ?+ G9 b$ Q
% j+ ~2 H) N. C) Q[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
( v* | f+ [. S/ g' W' h"Type"=dword:000000014 M9 W+ I3 r4 |& e( H! h8 P2 m# ~3 S
"ErrorControl"=dword:00000000- I7 s/ @3 z6 k: c
"Start"=dword:00000004
. i. m$ F$ I# @1 y9 \. I$ k"ImagePath"="\\??\\%SystemRoot%\\<随机文件名>"
+ Z& k, L4 Z9 Q"DeleteFlag"=dword:000000015 F% t! R% q; `8 o
3 g3 M) M) E. W+ B, X
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
! V/ q: G* [2 ]% G& X"0"="Root\\LEGACY_MCHINJDRV\\0000"
. Y" Z2 B( q/ }"Count"=dword:00000001$ C! w$ {/ I' L6 P
"NextInstance"=dword:00000001
$ a% h) v/ O+ g7 o0 E, L+ R
; ? A/ ~$ }" v E/ e" G8 S' _删除键值:8 |( h! s& |0 E' [
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
# G2 q/ E( f& g3 D& N u“NoRealMode”,禁止用户在DOS下察看病毒文件。
/ L9 S' J; S0 \6 |- m% [
8 N; k4 |6 Q$ Y4 Q" J) U, i _5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:
$ Z5 z' ^ n) ~2 M系统芯片 * B% W( ]; {9 h6 |
物理内存. ]1 x& S$ S7 X4 v- x5 q
Windows版本
6 d+ \3 ]5 ~3 D( LWindows目录
W2 j/ T8 ?6 e/ p# M注册公司 k1 N% b0 k+ p& d' e9 _" b
注册用户
4 [# _! r$ H j/ W当前用户
4 Q7 y4 F- |1 k- L: n4 e) M当前日期
4 W* q. O8 R' D: @9 z! w8 Y开机时间' f# @# S4 w% z* r- v& d
计算机名称+ {2 u8 {/ o: C' U
计算机分辨率% Z# D! r/ A) W1 p4 V* T
服务端版本
7 F( `; E# ^9 R; A剪切板内容1 x! N$ _- Y1 o0 C
本地IP地址
7 y" _: I% o/ p) x" Q2 ~+ K4 Y1 a [) E1 {3 Z# B
当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:
) B4 r2 c& ], J5 {& a4 p1 P; e更新病毒
1 A P5 L; y/ k5 ~1 M* `9 W启动键盘记录 0 l4 ]5 T- T; s7 o
停止键盘记录
+ o6 V% M/ \/ ]" }4 d& H* u结束指定的进程 G+ b5 ^3 I: ^
重启计算机
5 v4 g0 D1 b) K* Q+ c1 @启动命令行程序 * E- A1 r0 T6 }# R3 Y
执行系统命令 8 C9 d' ~# h Y
获取系统信息
& H2 A8 O3 F# R9 a4 |/ n9 R共享文件夹 $ }, l' R6 u8 e! Q. m; Y
从指定的IP下载文件。 |
|
雷达卡
发表于 2007-4-17 08:58:39
提升卡
抢沙发