BackDoor.Huigezi.ac

2008-02-23 09:05:29来源：互联网阅读 ()

病毒名称: BackDoor.Huigezi.ac 类别：后门病毒病毒资料：破坏方法：

后门病毒“灰鸽子”，可以穿越防火墙远程控制用户机器。
Delphi编写，被压缩。

一、复制自身到系统目录，命名为“conn.exe”，379,904 字节；

同时释放“conn.DLL”，341,504 字节。
这两个文件的属性都被设置为“隐藏”、“只读”、“系统”。

二、把病毒主程序注册为系统服务“Serv”。以服务的方式启动病毒。

1、使用互斥量“Gpigeon_Shared_MUTEX”防止自身重复运行。

2、删除

HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies
\WinOldApp的“NoRealMode”，禁止用户在DOS下察看病毒文件。

3、使用“C:\uninstal.bat”，把原来的文件删除。

三、病毒运行后，以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“conn.DLL”注入到IEXPLORE.EXE”中。这样，在防火墙看来，病毒的网络访问都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问。
从进程管理器中，用户自然看不到可疑进程。

四、病毒模块“conn.DLL”每隔30秒钟，向“viphanker.126.com”提交本地信息：
系统芯片
物理内存
Windows版本
Windows目录
注册公司
注册用户
当前用户
当前日期
开机时间
计算机名称
窗口分辨率
服务端版本
剪切板内容
本地ip地址.

病毒提供下列远程控制功能：

安装文件
启动键盘记录
停止键盘记录
结束指定的进程
从新启动计算机
启动CMD程序
执行系统命令
获取系统信息
共享文件夹
从指定的地址中下载文件。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。

发现日期： 2005-1-17

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有