病毒名称(中文):
灰鸽子
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
407040
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个黑客后门程序,病毒运行后会添加系统服务开机自动启动,启动并注入IE进程(该进程为隐藏进程),连接远程主机的8000端口,等待黑客命令。
该病毒会使用户的主机完全受控于黑客。
1、复制自身到%systemroot%\Hacker.com.cn.ini,并运行,删除原病毒文件。
2、修改注册表,添加名为windowsupdate的系统服务,并设置为开机自动启动。
3、添加如下注册表健,并将其驱动指向病毒服务windowsupdate。
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________
"NextInstance"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control]
"*NewlyCreated*"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Service"="WindowsUpdates"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Legacy"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"ConfigFlags"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Class"="LegacyDriver"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"DeviceDesc"="WindowsUpdates"
4、启动IE,并将注入病毒代码,连接远程主机218.63.39.202的8000端口,等待黑客命令。