当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 国内最“臭名昭著”的灰鸽子

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 国内最“臭名昭著”的灰鸽子


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 29 ::
收藏到网摘: n/a

灰鸽子作为国内最“臭名昭著”的后门程序一直伺机危害着我们的电脑。黑客们也借由它不断变化着戏法来增加更多的“肉鸡”。此次“灰鸽子”变身成为具有诱惑力的蜘蛛图标用来迷惑用户成为黑客的“盘中餐”。

近日,微点主动防御软件自动捕获了这个名为“Backdoor.Win32.Hupigon.qko”的灰鸽子后门,据微点反病毒专家介绍:该后门程序采用红色蜘蛛作为图标,对用户具有一定的引诱性。更为狡猾的是该病毒在system32目录下生成与该目录下重要系统文件相近名字svhost.exe以此来蒙骗用户,并且注册服务实现开机自启动的目的,该病毒同时还会将自身的病毒文件注入到系统IE进程,以此来躲过防火墙的检测。从而链接到黑客,被黑客远程控制。用户中毒后,可能会出现计算机无故重启、关闭,重要文件丢失,系统及网络缓慢、摄像头无故启用、程序无故关闭、注册表被修改、出现各类病毒等导致用户隐私泄露及影响用户使用的现象。

灰鸽子变种Backdoor.Win32.Hupigon.qko

名称:Backdoor.Win32.Hupigon.qko

捕获时间:2009-5-30

病毒症状

该样本是使用“Delphi”编写的后门程序,由微点主动防御软件自动捕获,长度为“762,368 字节”,图标为

 

 

红色蜘蛛图标

病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为设立后门,使用户电脑沦为傀儡主机。

用户中毒后,可能会出现计算机无故重启、关闭,重要文件丢失,系统及网络缓慢、摄像头无故启用、程序无故关闭、注册表被修改、出现各类病毒等导致用户隐私泄露及影响用户使用的现象。

感染对象:Windows 2000/Windows XP/Windows 2003

传播途径:网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);

 

 

图1 微点主动防御软件自动捕获未知病毒(未升级)

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Backdoor.Win32.Hupigon.qko”,请直接选择删除(如图2)。

 

 

图2 微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户,微点反病毒专家建议:

1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启Windows自动更新,及时打好漏洞补丁。

对于未使用微点主动防御软件的用户,微点反病毒专家建议:

1、手动删除以下文件:    

 

%SystemRoot%\system32\svhost.exe

2、手动删除以下注册表值:  

 

键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn 

变量声明:

 

%SystemDriver%         系统所在分区,通常为“C:\”
%SystemRoot%          WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%    用户文档目录,通常为“C:\Documents and Settings”
%Temp%             临时文件夹,通常为“C:\Documents and Settings\当前用户名称 \Local Settings\Temp”
%ProgramFiles%         系统程序默认安装目录,通常为:“C:\ProgramFiles”

病毒分析:

(1)读取并解密自己配置信息

(2)复制自身到%SystemRoot%\system32\svhost.exe

(3)注册服务,启动病毒

(4)创建IEXPLORE.EXE进程,把病毒代码注入进程

(5)创建批处理文件删除自身

(6)尝试连接黑客主机      

病毒创建文件: 

 

%SystemRoot%\system32\svhost.exe
%SystemRoot%\uninstal.bat 

病毒删除文件:

 

%SystemRoot%\uninstal.bat

病毒创建注册表:  

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn

病毒创建进程:    

 

IEXPLORE.EXE

病毒访问网络:    

 

sst12418***2.vicp.cc:50