病毒名稱(中文):
灰鴿子
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
黑客程序
病毒長度:
407040
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個黑客後門程序,病毒運行後會添加系統服務開機自動啓動,啓動並注入IE進程(該進程爲隱藏進程),連接遠程主機的8000端口,等待黑客命令。
該病毒會使用戶的主機完全受控于黑客。
1、複制自身到%systemroot%\Hacker.com.cn.ini,並運行,刪除原病毒文件。
2、修改注冊表,添加名爲windowsupdate的系統服務,並設置爲開機自動啓動。
3、添加如下注冊表健,並將其驅動指向病毒服務windowsupdate。
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________
"NextInstance"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control]
"*NewlyCreated*"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Service"="WindowsUpdates"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Legacy"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"ConfigFlags"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Class"="LegacyDriver"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"DeviceDesc"="WindowsUpdates"
4、啓動IE,並將注入病毒代碼,連接遠程主機218.63.39.202的8000端口,等待黑客命令。