病毒名称:
Backdoor.Huigezi.bm
类别: 后门病毒
病毒资料:
破坏方法:
后门病毒“灰鸽子”,Delphi 编写,被压缩。
主要特点:
1.可以穿越防火墙远程控制用户机器。
2.使用madCodeHook开发包接管若干API,隐藏病毒文件,给用户杀毒造成障碍。
病毒的破坏行为如下:
一、病毒主程序运行后,把自己复制到系统目录,命名为“G_server.exe”。
Win9x和WinMe下,病毒添加自启动项SoftWare\Microsoft\Windows\CurrentVersion\Run
NT平台下,创建服务“GrayPigeonServer”,以服务的方式启动病毒。
二、“G_server.exe”运行后,释放“G_server.dll”,然后把该dll注入到“EXPlorer.exe”病毒使用madCodeHook开发包的madRemote模块注模块。
以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“G_server.dll”注入到IEXPLORE.EXE”中。这样,在防火墙看来,病毒的网络访问都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问。从进程管理器中,用户自然看不到可疑进程。
三、“G_server.dll”是病毒后门功能模块,每隔30秒钟,向指定网址提交本地信息:
系统芯片:
物理内存:
Windows版本:
Windows目录:
注册公司:
注册用户:
当前用户:
当前日期:
开机时间:
计算机名称:
窗口分辨率:
服务端版本:
剪切板内容:
本地ip地址.
安装名称:
VIP用户名:
备用上线地址:
上线分组:
上线备注:
连接密码:
服务名称:
服务显示名称:
服务描述信息:
病毒提供下列远程控制功能:
安装文件
启动键盘记录
停止键盘记录
结束指定的进程
从新启动计算机
启动CMD程序
执行系统命令
获取系统信息
共享文件夹
从指定的地址中下载文件。
四、病毒把“G_Server_Hook.dll”使用madCodeHook开发包接管下列API。
kernel32.dll 的 FindNextFileA、FindNextFileW
ADVAPI32.DLL 的 EnumServicesStatusA、EnumServicesStatusW
ntdll.dll 的 NtQuerySystemInformation、NtTerminateProcess
病毒有个共享数据区:
“GPigeon5_Shared_HIDE”,里面可以包含四个文件,病毒这些文件病防止终止相应进程。所以,一旦感染病毒,用户看不到病毒文件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-26