病毒名称: Backdoor.Win32.Huigezi.pigenon中文名称: 灰鸽子病毒类型: 后门文件 MD5: 5CE74EB25E3CF47652307AEFDABBA0FF公开范围: 完全公开危害等级: 3文件长度: 310,280字节感染系统: windows98以上系统开发工具: Borland Delphi 6.0 - 7.0加壳类型: UPolyX v0.5命名对照: Symentec[] BitDefender []
1、病毒运行后衍生病毒文件且删除自身:
%windir%\Hacker.com.cn.exe
2、病毒运行后修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\Control\键值:字串:” ActiveService”=”GrayPigeon_Hacker.com.cn”HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\键值:字串:” DeviceDesc”=”GrayPigeon_Hacker.com.cn”HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\键值:字串:" Service"=" GrayPigeon_Hacker.com.cn "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ GrayPigeon_Hacker.com.cn \键值:字串:” Description”=”灰鸽子服务端程序。远程监控管理.”HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ GrayPigeon_Hacker.com.cn \键值:字串:" DisplayName"=" GrayPigeon_Hacker.com.cn "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ GrayPigeon_Hacker.com.cn \键值:字串:" ImagePath"=" C:\WINNT\ Hacker.com.cn .exe"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn \Enum键值:字串:"0"=" Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000 "
3、病毒运行后开启服务:
显示名称:GrayPigeon_Hacker.com.cn描述:灰鸽子服务端程序。远程监控管理.可执行文件的路径:C:\WINNT\Hacker.com.cn.exe
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号