Backdoor.Win32.Huigezi.pigenon病毒的分析解决
电脑软硬件应用网 45IT.COM 时间:2007-01-05 11:36 作者:未知
病毒标签: |
|
病毒名称: Backdoor.Win32.Huigezi.pigenon 中文名称: 灰鸽子 病毒类型: 后门 文件 MD5: 5CE74EB25E3CF47652307AEFDABBA0FF 公开范围: 完全公开 危害等级: 3 文件长度: 310,280字节 感染系统: windows98以上系统 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPolyX v0.5 命名对照: Symentec[] BitDefender [] |
病毒描述: |
|
该病毒属于后门类,运行病毒后显示“灰鸽子远程控制服务端安装成功!”且删除自身。复制自身到%windir%下,修改注册表,隐藏病毒进程和病毒文件。开启服务,以达到随机启动的目的,该病毒可远程控制用户计算机。 |
行为分析: |
|
1、病毒运行后衍生病毒文件且删除自身:
%windir%\Hacker.com.cn.exe
2、病毒运行后修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root \LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\Control\ 键值:字串:” ActiveService”=”GrayPigeon_Hacker.com.cn” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root \LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\ 键值:字串:” DeviceDesc”=”GrayPigeon_Hacker.com.cn” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root \LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\ 键值:字串:" Service"=" GrayPigeon_Hacker.com.cn " HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \ GrayPigeon_Hacker.com.cn \ 键值:字串:” Description”=”灰鸽子服务端程序。远程监控管理.” HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \ GrayPigeon_Hacker.com.cn \ 键值:字串:" DisplayName"=" GrayPigeon_Hacker.com.cn " HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \ GrayPigeon_Hacker.com.cn \ 键值:字串:" ImagePath"=" C:\WINNT\ Hacker.com.cn .exe" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn \Enum 键值:字串:"0"=" Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000 "
3、病毒运行后开启服务:
显示名称:GrayPigeon_Hacker.com.cn 描述:灰鸽子服务端程序。远程监控管理. 可执行文件的路径:C:\WINNT\Hacker.com.cn.exe
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 |
|
------分隔线----------------------------
无法在这个位置找到: baidushare.htm