病毒资料:W32/Hupigon.DW-bdr
[导读]基本信息 病毒名称: W32/Hupigon.DW-bdr 类型: 后门程序 长度: 348098 威胁级别: 2 捕获日期: 2005-09-04 其它别名: AVP:Backdoor.Win32.Hupigon.dw 影响系统: Windows所有平台 表现特征 该病毒采用“GIF”文件类型的...
| 基本信息 | |||||||||
| 病毒名称: | W32/Hupigon.DW-bdr | 类型: | 后门程序 | 长度: | 348098 | 威胁级别: | 2 | 捕获日期: | 2005-09-04 |
| 其它别名: | AVP:Backdoor.Win32.Hupigon.dw | 影响系统: | Windows所有平台 | ||||||
| 表现特征 | |||||||||
| 该病毒采用“GIF”文件类型的图标,伪装成图片。被别有用心的人投放到各种论坛上,取个醒目的名称,例如:“最美丽的问候送给远方的你,喜欢吗我的朋友”,引诱用户下载运行。用户双击后,会发现一点反应也没有,原文件自动消失了。 | |||||||||
| 行为分析 | |||||||||
| 1。创建互斥量"GPigeon5_Shared_HUI2005",防止自己重复运行。 2。复制自己为%Windir%G_Server.exe,设置为只读、隐藏和系统属性。 (说明:%Windir% 是Windows安装目录,例如:C:Windows 、 C:WinNT) 3。添加启动项。 a)Win95/98系统中,在注册表键下添加数据项,使病毒随系统的启动而自动运行。 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “Gray_Pigeon_Server” = %Windir%G_SERVER.EXE b)Windows NT/2000/XP/2003中,添加下列服务,使病毒随系统的启动而自动运行。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesGrayPigeonServer 服务程序为%Windir%G_SERVER.EXE HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmchInjDrv 服务程序为%Windir%TEMPMC25.TMP 4。释放%Windir%uninstal.bat,删除原始的病毒文件。 5。释放%Windir%G_Server.DLL。 以隐藏方式运行“Internet Explorer”,把“G_Server.DLL”注入进去。 病毒主程序退出,在进程管理器中,没有病毒进程。 6。“G_Server.DLL”的行为如下: 1)释放%Windir%G_Server_Hook.DLL,注入到其他进程中,接管和修改下列函数 kernel32.dll 的 FindFirstFileA 、FindNextFileW ADVAPI32.DLL 的 EnumServicesStatusW、EnumServicesStatusA ntdll.dll 的 NtTerminateProcess、NtQuerySystemInformation 目的是: 隐藏三个文件(G_Server.exe、G_Server.DLL、G_Server_Hook.DLL),使杀毒软件的无法扫描到病毒文件; 隐藏IE进程; 防止隐藏的IE进程被终止。 2)释放%Windir%TEMPMC25.TMP,这是一个sys驱动程序,向系统注册一个进程创建“NotifyRoutine”。 当运行任何一个程序时,都会激活病毒代码。这段代码把G_Server_Hook.DLL加载进来,保护病毒文件。 3)每隔50秒钟,访问http://76761017.126.com ,通知黑客进行远程控制。值得注意的是,由于病毒注入到IE中,病毒的网络连接不会被防火墙发现。 4)一旦和黑客建立通讯,该病毒模块会打开后门,接受黑客的控制命令。造成用户私人信息的泄漏。黑客可以对中毒机器进行任意操作。 | |||||||||
| 清除方法 | |||||||||
| Windows NT/2000/XP/2003中, 1. 运行regedit.exe, 删除下列键 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesGrayPigeonServer HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmchInjDrv 2.重新启动机器,查找并删除G_Server.exe、G_Server.DLL、G_Server_Hook.DLL。 Win95/98下, 1.以安全模式启动,查找并删除G_Server.exe、G_Server.DLL、G_Server_Hook.DLL。 2.运行regedit.exe,删除子键 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 的数据项:“Gray_Pigeon_Server”。 | |||||||||
| 防范措施 | |||||||||
| 1.提高安全意识,不要随便运行陌生程序,特别是那些名称具有引诱性的; 2.经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级。 | |||||||||
- 转载请注明来源:IT学习网 网址:http://www.t086.com/ 向您的朋友推荐此文章
- 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系我们,我们会尽快予以更正。