基本介紹
- 中文名:灰鴿子
- 外文名:Win32.Hack.Huigezi.ir
- 影響系統:Win 9x/ME,Win 2000/NT,
- 途徑:修改註冊表
基本信息,行為分析,
基本信息
病毒別名: 處理時間:2006-12-06 威脅級別:★
病毒類型:黑客程式
該病毒會使用戶的主機完全受控於黑客。
行為分析
1、複製自身到%systemroot%\Hacker.com.cn.ini,並運行,刪除原病毒檔案。
2、修改註冊表,添加名為windows update的系統服務,並設定為開機自動啟動。
3、添加如下註冊表健,並將其驅動指向病毒服務windows update。
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________
"NextInstance"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000\Control]
"*NewlyCreated*"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Service"="Windows Updates "
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Legacy"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"ConfigFlags"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"Class"="LegacyDriver"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"ClassGUID"=""
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_UPDATES_________\0000]
"DeviceDesc"="Windows Updates "
4、啟動IE,並將注入病毒代碼,連線遠程主機218.63.39.202的8000連線埠,等待黑客命令。
