病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
325632
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下盗窃用户隐私、远程控制用户机器的后门程序。病毒运行后将自己伪装成系统正常文件,病毒运行后利用进程隐藏技术隐藏病毒进程,使用户中毒无法察觉,并通过反弹端口等技术绕过网络防火墙软件的监视,并主动连接病毒作者的控制端。连接成功后病毒作者可以进行远程控制用户机器,查看、下载中毒机器上的任意文件,记录用户所有电脑操作,盗取用户QQ号码、网银等信息。同时病毒作者还可以进行远程控制用户机器如下载其它病毒,攻击相关网站等等。给用户造成严重威胁、泄露用户隐私。
1、将自身伪装成以下伪系统正常程序:
%Windir%\Winlogon.exe
2、释放出以下病毒主服务器端模块:
%Windir%\WinLog0n.dll
3、当用户中毒后打开各种常用程序,例如:QQ、讯雷、pplive、MSN等,病毒将自身注入至相应的应用程序中,使病毒能够后台主动连接网络而不易被发现。
4、病毒发作时,会在中毒机器上开启socks5代理服务和HTTP代理服务。假如网络已连通,病毒会主动连接以下网站,解析出最终的连接地址,解析完毕后连接病毒作者的控制端:
http://www.ha****.cn/ip.txt
5、成功连接病毒作者的控制端后,病毒作者能够实时获取用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程,也能够控制被感染机器关机或重启。
6、添加如下病毒服务:
服务名:gS2007
显示名:Windowslogonserver
服务描述:Windows安全登录程序。假如这个服务被停止,系统将无法正常登录。假如这个服务被禁用,任何依靠它的服务将无法启动。
7、病毒运行后修改如下几个系统要害函数,使用户极难发现灰鸽子病毒感染:
ZwTerminateProcess
FindNextFileA
FindNextFileW
EnumServicesStatusA
RegEnumKeyExW
RegEnumKeyExA
ZwQuerySystemInformation
