Win32.Troj.Gpigeon

病毒名称(中文):

黑鸽子

病毒别名:

TrojanSpy.Win32.Delf.dv[AVP]

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

1483172

影响系统:

Win9xWinNT

病毒行为:

该病毒通过创建自启动服务来达到开机运行的目标，而通常做法是通过修改注册表的启动项来实现，使得病毒更隐蔽。该病毒运行之后会将自己复制到系统安装目录，并启动为开机运行的服务“simpletipipserver”，同时释放一个用来开始后门DLL文件。它修改IE设置，将IE主页改为“about:blank”，禁止IE检查是否默认主页，禁止网络链接向导等，以防止病毒开启IE时被用户发觉。然后它就在后台将IE启动为服务，再将释放的DLL文件加载到IE中，以逃过防火墙的检测。然后通知攻击者病毒的存在，让攻击者连接中毒电脑并控制该电脑。

1.创建互斥体Gpigeon_Shared_MUTEX防止病毒的多个实例运行。

2.将自己复制为%SystemRoot%\server.exe，并将其加载为自动运行的系统服务“simpletipipserver”，同时还释放Dll文件server.dll，该文件大小为659968。

3.修改注册表：

添加主键以及表项，用来启动服务“simpletipipserver”:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simpletipipserver

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="%SystemRoot%\server.exe"

"DisplayName"="simpletip\ipserver"

"ObjectName"="LocalSystem"

"Description"="simpletipipserver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simpletipipserver\Security

"Security"=<系统相关的十六进制代码>

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simpletipipserver\Enum

"0"="Root\\LEGACY_SIMPLE_TIP_IP_SERVER\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER]

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000

"Service"="simpletipipserver"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="simpletip\ipserver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="simpletipipserver"

修改IE设置：

HKEY_USERS\.Default\Software\Policies\Microsoft\InternetExplorer\ControlPanel"ConnwizAdminLock"=dword:00000001

"Check_If_Default"=dword:00000000

HKEY_USERS\.Default\Software\Microsoft\InternetExplorer\Main

"StartPage"="about:blank"

"default_page_url"="about:blank"

"FirstHomePage"="about:blank"

"Check_Associations"="no"

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main

"Check_Associations"="no"

4.将IEXPLORE.EXE启动为服务，并将server.dll注入到该进程中，病毒以IEXPLORE.EXE身份访问网络，通知外界攻击者，然后开启后门，让攻击者链接并控制中毒电脑。

• ·Macro.Word97.VMPC-based
• ·Macro.Word97.VMPC-based
• ·Macro.Word97.VMPC-based
• ·Win32.Troj.WinShow.an
• ·Win32.Troj.Xinkey
• ·Macro.Word.Wazzu.y
• ·Macro.Word.Wazzu.b
• ·Macro.Office97.Kryptos
• ·Macro.Word97.VMPC-based
• ·Macro.Word97.VMPC-based