|
| backdoor.win32.hupigon.x 分析 |
| 来源:网络 时间:2006-5-31 |
|
病毒标签:
病毒名称: backdoor.win32.hupigon.x
病毒类型: 后门
危害等级: 高
文件长度: 472,064 字节
感染系统: windows 98 以上版本
开发工具: delphi
加壳类型: asprotect
病毒描述:
该病毒属“灰鸽子”的一个变种,感染该病毒后,会释放出5个文件,分别位于%windir%、%windir%\temp和系统盘根目录下,感染后在根目录下释放 uninstal.bat 文件,该批处理文件用于删除原病毒体。注册系统服务,从而以服务的方式启动自身。修改与服务相关的注册表。收集受感染主机的一些信息并发送给远程控制者,如:当前日期,计算机名称, ip 地址,剪切办内容。创建互斥体。通过挂载 api 、远程注入方式通过 80 端口访问网络,继而达到穿透防火墙的目的。是一种危险性较高的病毒。开启代理服务。
行为分析:
1 、创建互斥量“ gpigeon_shared_mutex ”。
2 、将自身复制为 %windir%\system.exe ,并在同位置释放病毒的 dll 文件:
system.dll 、 system_hook.dll 、 systemkey.dll 。
在 %windir%\temp\ 下释放 system0.dll 文件 属性:隐藏。
3 、 根目录下释放 uninstal.bat 文件,用于删除原病毒体。
4 、修改注册表
hkey_local_machine\system\currentcontrolset\services\portable
media serial number s hkey_local_machine\system\currentcontrolset\services\mchinjdrv hkey_local_machine\system\currentcontrolset\services\mchinjdrv
\imagepath
键: %windir%\temp\mc21.tmp hkey_users\.default\software\microsoft\windows\currentversion
\internet settings\proxyenable
键: dword: 0 (0)
5 、通过修改注册表的键达到随系统启动的目的,修改如下键值:
hkey_local_machine\system\currentcontrolset\services\portable media serial number s
6 、收集受感染主机的一些信息,并发送给远程连接者。
|
|
|
|
|
