病毒名称(中文):
隐形鸽子192512
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
192512
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
此病毒是一个用vc++高级语言编写的黑客木马程序。病毒释放自身驱动文件及dll格式文件,突破杀软的防御措施,然后隐藏在用户机器中,实现远程监视。
1.病毒运行时首先在%temp%目录下释放一个XXXX.dat的配置文件,其中XXXX为随机产生的四位数,
配置文件本身存于病毒体的资源节中,内容如下:
[Config]
Url=http://www.XXXX.com/XXX
Explain=XXXX
Ip=XXX.XXX.XXX.XXX
Ip_Port=XXXX
FileName=XXXXX
ServiceName=XXXXXX
DisplayName=XXXXX
Description=XXXXX
URLDNS=1
Inject=1
其中保存了木马反弹连接网址,版本信息,连接信息,客户端IP,监听端口之类信息,将配置文件的字段内容
读入并保存起来,然后删除该文件.
2.遍历当前进程,找到avp.exe和ravstub.exe,假如这两个进程存在任意一个,则检索%systemroot%下
是否存在NTboot.exe,Ntboot32BP.sys,Beep.sys,假如存在则全部删除,不存在则释放,
其中NTboot.exe为病毒体自身,.sys为病毒资源节中的文件.
3.注册windows服务实现开机自启动,另外值得一提是的病毒体一开始会将自己的窗口名注册为
"MicrosoftInternetExplorer",类名注册为"IEFrame",以混淆用户的判定.
4.释放资源节中的dll文件,修改进程特权标记,将dll代码中一部分注入到svchost.exe中,创建远程线程.
5.病毒运行完毕后,可实现无进程无模块,对于用户手工清除带来很大的困难,此后门程序可以远程监视用户
屏幕键盘等等,并加载驱动试图对杀软防御进行突破,具有较大的危害性.
