病毒名称(中文):
黑鸽子
病毒别名:
TrojanSpy.Win32.Delf.dv[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
1483172
影响系统:
Win9xWinNT
病毒行为:
该病毒通过创建自启动服务来达到开机运行的目标,而通常做法是通过修改注册表的启动项来实现,使得病毒更隐蔽。该病毒运行之后会将自己复制到系统安装目录,并启动为开机运行的服务“simpletipipserver”,同时释放一个用来开始后门DLL文件。它修改IE设置,将IE主页改为“about:blank”,禁止IE检查是否默认主页,禁止网络链接向导等,以防止病毒开启IE时被用户发觉。然后它就在后台将IE启动为服务,再将释放的DLL文件加载到IE中,以逃过防火墙的检测。然后通知攻击者病毒的存在,让攻击者连接中毒电脑并控制该电脑。
1.创建互斥体Gpigeon_Shared_MUTEX防止病毒的多个实例运行。
2.将自己复制为%SystemRoot%\server.exe,并将其加载为自动运行的系统服务“simpletipipserver”,同时还释放Dll文件server.dll,该文件大小为659968。
3.修改注册表:
添加主键以及表项,用来启动服务“simpletipipserver”:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simpletipipserver
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%\server.exe"
"DisplayName"="simpletip\ipserver"
"ObjectName"="LocalSystem"
"Description"="simpletipipserver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simpletipipserver\Security
"Security"=<系统相关的十六进制代码>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simpletipipserver\Enum
"0"="Root\\LEGACY_SIMPLE_TIP_IP_SERVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER]
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000
"Service"="simpletipipserver"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="simpletip\ipserver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="simpletipipserver"
修改IE设置:
HKEY_USERS\.Default\Software\Policies\Microsoft\InternetExplorer\ControlPanel"ConnwizAdminLock"=dword:00000001
"Check_If_Default"=dword:00000000
HKEY_USERS\.Default\Software\Microsoft\InternetExplorer\Main
"StartPage"="about:blank"
"default_page_url"="about:blank"
"FirstHomePage"="about:blank"
"Check_Associations"="no"
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main
"Check_Associations"="no"
4.将IEXPLORE.EXE启动为服务,并将server.dll注入到该进程中,病毒以IEXPLORE.EXE身份访问网络,通知外界攻击者,然后开启后门,让攻击者链接并控制中毒电脑。