病毒名称: Backdoor.Win32.Hupigon.akh
中文名称: 灰鸽子变种
病毒类型: 后门类
文件 MD5: DF25F104C04150F81670D1310B34CBBB
公开范围: 完全公开
危害等级: 中等
文件长度:768,512 字节
感染系统: Windows9X以上版本
开发工具: Borland Delphi 6.0 - 7.0
病毒描述:
该病毒属后门类病毒,病毒运行后在%windir%下释放三个文件。而后修改注册表文件,以达到随系统启动的目的。病毒会尝试收集感染主机的敏感信息,如感染主机的IE设置、主机名、当前用户等。该病毒对用户有较大危害。
行为分析:
1、修改注册表文件,以达到随系统启动的目的。
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
键值:字串:internat.exe
2、在%Windir%下释放文件:
g_server2006.dll 大小: 700,416字节
g_server2006.exe 大小: 768,512字节
g_server2006key.dll 大小: 61,440字节
3、如果被感染的系统是Windows 9x版本,病毒运行后会自动添加到“程序-启动”下,弹出消息框,内容为:
20050101
节日快乐
提示
灰鸽子vip2006服务端安装成功
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件:
g_server2006.dll
g_server2006.exe
g_server2006key.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersion
键值:字串:internat.exe