热心网友
回答时间:2022-07-10 02:50
Backdoor.Win32.Hupigon.cj
病毒别名:Win32.Hack.Hupigon.j
处理时间:
威胁级别:★★
中文名称:灰鸽子变种J
病毒类型:黑客程序
影响系统:Win9x / WinNT
病毒行为:
这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。
1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。
2.将自身复制为%SystemRoot%\Pmsns.exe,并释放病毒DLL文件:
%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j)
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)
使用批处理文件“C:\uninstal.bat”,删除原始文件。
3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
FindNextFileA
FindNextFileW
NtQuerySystemInformation
NtTerminateProcess
EnumServicesStatusW
EnumServicesStatusA
以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。
4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%\Pmsns.exe"
"DisplayName"="Pmsns"
"ObjectName"="LocalSystem"
"Description"="Rtrieves the serial number of any "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
"Security"="<系统相关>"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
"0"="Root\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="\??\%SystemRoot%\<随机文件名>"
"DeleteFlag"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\LEGACY_MCHINJDRV\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
删除键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
“NoRealMode”,禁止用户在DOS下察看病毒文件。
5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:
系统芯片
物理内存
Windows版本
Windows目录
注册公司
注册用户
当前用户
当前日期
开机时间
计算机名称
计算机分辨率
服务端版本
剪切板内容
本地IP地址
当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:
更新病毒
启动键盘记录
停止键盘记录
结束指定的进程
重启计算机
启动命令行程序
执行系统命令
获取系统信息
共享文件夹
从指定的IP下载文件
近段时间来发现多台电脑都中了这个东东,特搜索一下记录.
收起
