VIP可享有论坛特权,免看广告,负分归零,重新加分开始!
「我要成为VIP」
| shazhude98 发表于 2007-3-18 13:12 只看TA 1楼 |
|---|
|
|
[交流] 灰鸽子2007分析报告 灰鸽子2007分析报告病毒名:Win32.Hack.Huigezi.jn 处理时间:2007-02-26 威胁级别:★★ 中文名称:灰鸽子2007 病毒类型:黑客程序 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 这是一个黑客后门,中毒后病毒在后台连接远程黑客主机,使用户主机完全受控于黑客,黑客甚至可以查看用户主机的摄像头,使用户利益及隐私受到极大危害。 1、复制自身到%windows%\G_Server2007.exe,并释放一个病毒文件到%Windows%\G_Server2007.dll.(病毒文件名可变,根据病毒生成时的输入而定) 2、修改注册表,添加服务自启动(服务名可变,根据病毒生成时的输入而定): HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "Type" = 0x110 HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "Start" = 0x2 HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "ErrorControl" = 0x0 HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "ImagePath" = "C:\WINDOWS\G_Server2007.exe" HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "DisplayName" = "GrayPigeon2007" HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "ObjectName" = "LocalSystem" HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "Description" = "灰鸽子远程管理软件服务端程序!" HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVERGRAYPIGEON2007 3、注入explorer.exe或iexplore.exe(根据病毒文件生成是的设置而定),连接远程黑客主机,接受黑客控制,包括: 修改注册表 浏览文件 查看系统信息 查看进程 操作窗口 记录键盘 操作服务 修改共享 开启代理 MS-DOS模拟 监视远程屏幕 操控语音视频 远程登陆 关闭、重启机器等 4、通过HOOK API的方式实现病毒文件及病毒进程的隐藏,用普通方法无法看到。 |
| 0 |
|
|---|