病毒名称:
BackDoor.Huigezi.ac
类别: 后门病毒
病毒资料:
破坏方法:
后门病毒“灰鸽子”,可以穿越防火墙远程控制用户机器。
Delphi编写,被压缩。
一、复制自身到系统目录,命名为“conn.exe”,379,904 字节;
同时释放“conn.DLL”,341,504 字节。
这两个文件的属性都被设置为“隐藏”、“只读”、“系统”。
二、把病毒主程序注册为系统服务“Serv”。以服务的方式启动病毒。
1、使用互斥量“Gpigeon_Shared_MUTEX”防止自身重复运行。
2、删除
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies
\WinOldApp的“NoRealMode”,禁止用户在DOS下察看病毒文件。
3、使用“C:\uninstal.bat”,把原来的文件删除。
三、病毒运行后,以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“conn.DLL”注入到IEXPLORE.EXE”中。这样,在防火墙看来,病毒的网络访问都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问。
从进程管理器中,用户自然看不到可疑进程。
四、病毒模块“conn.DLL”每隔30秒钟,向“viphanker.126.com”提交本地信息:
系统芯片
物理内存
Windows版本
Windows目录
注册公司
注册用户
当前用户
当前日期
开机时间
计算机名称
窗口分辨率
服务端版本
剪切板内容
本地ip地址.
病毒提供下列远程控制功能:
安装文件
启动键盘记录
停止键盘记录
结束指定的进程
从新启动计算机
启动CMD程序
执行系统命令
获取系统信息
共享文件夹
从指定的地址中下载文件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-17