Win32.Hack.Huigezi.ir

病毒名稱(中文): 灰鴿子 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 黑客程序 病毒長度: 407040 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個黑客後門程序，病毒運行後會添加系統服務開機自動啓動，啓動並注入IE進程（該進程爲隱藏進程），連接遠程主機的8000端口，等待黑客命令。 該病毒會使用戶的主機完全受控于黑客。 1、複制自身到%systemroot%\Hacker.com.cn.ini,並運行，刪除原病毒文件。 2、修改注冊表，添加名爲windowsupdate的系統服務，並設置爲開機自動啓動。 3、添加如下注冊表健，並將其驅動指向病毒服務windowsupdate。 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________ [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________ "NextInstance"=0x1 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control] [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control] "*NewlyCreated*"=0x0 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] "Service"="WindowsUpdates" [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] "Legacy"=0x1 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] "ConfigFlags"=0x0 [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] "Class"="LegacyDriver" [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" [HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000] "DeviceDesc"="WindowsUpdates" 4、啓動IE，並將注入病毒代碼，連接遠程主機218.63.39.202的8000端口，等待黑客命令。