Win32.Hack.Hupigon.j

這是“灰鴿子後門病毒的一個變種。病毒將釋放兩個DLL檔案Pmsns.DLL和Pmsns_Hook.DLL,通過創建遠程進程的方式將Pmsns_Hook.DLL並將病毒檔案Pmsns_Hook.DLL注入到除少數幾個無法注入(比如“smss.exe”)以外的所有進程,然後掛鈎某些API,從而隱藏病毒檔案、病毒進程和IEXPLORE.EXE進程、病毒服務、阻止病毒進程並關閉。

基本介紹

  • 中文名灰鴿子變種J
  • 外文名:Backdoor.Win32.Hupigon.j[AVP]
  • 威脅級別:★★
  • 詞語分類:計算機用語
  • 影響系統:Win9x / WinNT / WinXP / win7
  • 病毒類型黑客程式
病毒描述,病毒行為,

病毒描述

用戶無法使用常規的方式發現病毒的蹤影:使用資源管理器無法看到病毒檔案,使用任務管理器查看不到病毒進程。病毒運行後,以創建服務、遠程注入、掛鈎API等方式隱秘啟動瀏覽器“IEXPLORE.EXE”,在防火牆看來,訪問網路的進程都是“IEXPLORE.EXE”,而且是80連線埠,都會認為是正常訪問,從而可以穿越防火牆遠程控制用戶機器。“灰鴿子”病毒使用了多種方式隱藏自己的蹤跡,普通用戶難以發現並殺除。

病毒行為

1.創建互斥量“Gpigeon_Shared_MUTEX”,防止自身重複運行。
2.將自身複製為%SystemRoot%\Pmsns.exe,並釋放病毒DLL檔案:
%SystemRoot%\Pmsns.DLL (Win32.Hack.Hupigon.j)
%SystemRoot%\Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)
使用批處理檔案“C:\uninstal.bat”,刪除原始檔案。
3.將病毒主程式註冊為系統服務“Portable Media Serial Number S”,以服務的方式啟動病毒,並將病毒檔案Pmsns_Hook.DLL注入到除少數幾個無法注入(比如“smss.exe”)以外的所有進程,然後掛鈎以下API:
FindNextFileA
FindNextFileW
NtQuerySystemInformation
NtTerminateProcess
EnumServicesStatusW
EnumServicesStatusA
以隱藏病毒檔案、病毒進程和IEXPLORE.EXE進程、病毒服務,並且阻止病毒進程並關閉。
將IEXPLORE.EXE進程創建為臨時服務“mchInjDrv”,然後將Pmsns.DLL注入到IEXPLORE.EXE進程,用來穿透防火牆,與外界控制端通信。
使用檔案映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”來進行病毒間的數據交換。
4.修改註冊表,與服務相關,使得病毒能夠以服務的方式啟動病毒。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%\Pmsns.exe"
"DisplayName"="Pmsns"
"ObjectName"="LocalSystem"
"Description"="Rtrieves the serial number of any "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Security]
"Security"="<系統相關>"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S\Enum]
"0"="Root\\LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="\\??\\%SystemRoot%\\<隨機檔案名稱>"
"DeleteFlag"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
刪除鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
“NoRealMode”,禁止用戶在DOS下察看病毒檔案。
5.病毒模組Pmsns.DLL每隔一定時間向遠程主機傳送本機信息:
系統晶片
物理記憶體
Windows版本
Windows目錄
註冊公司
註冊用戶
當前用戶
當前日期
開機時間
計算機名稱
計算機解析度
服務端版本
剪下板內容
本地IP位址
當控制端連線到中毒計算機以後,病毒可以執行以下遠程控制命令:
更新病毒
啟動鍵盤記錄
停止鍵盤記錄
結束指定的進程
重啟計算機
啟動命令行程式
執行系統命令
獲取系統信息
已分享檔案夾
從指定的IP下載檔案。

熱門詞條

聯絡我們