当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 国内最“臭名昭著”的灰鸽子

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 国内最“臭名昭著”的灰鸽子


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 53 ::
收藏到网摘: n/a

灰鸽子作为国内最“臭名昭著”的后门程序一直伺机危害着我们的电脑。黑客们也借由它不断变化着戏法来增加更多的“肉鸡”。此次“灰鸽子”变身成为具有诱惑力的蜘蛛图标用来迷惑用户成为黑客的“盘中餐”。

近日,微点主动防御软件自动捕获了这个名为“Backdoor.Win32.Hupigon.qko”的灰鸽子后门,据微点反病毒专家介绍:该后门程序采用红色蜘蛛作为图标,对用户具有一定的引诱性。更为狡猾的是该病毒在system32目录下生成与该目录下重要系统文件相近名字svhost.exe以此来蒙骗用户,并且注册服务实现开机自启动的目的,该病毒同时还会将自身的病毒文件注入到系统IE进程,以此来躲过防火墙的检测。从而链接到黑客,被黑客远程控制。用户中毒后,可能会出现计算机无故重启、关闭,重要文件丢失,系统及网络缓慢、摄像头无故启用、程序无故关闭、注册表被修改、出现各类病毒等导致用户隐私泄露及影响用户使用的现象。

灰鸽子变种Backdoor.Win32.Hupigon.qko

名称:Backdoor.Win32.Hupigon.qko

捕获时间:2009-5-30

病毒症状

该样本是使用“Delphi”编写的后门程序,由微点主动防御软件自动捕获,长度为“762,368 字节”,图标为

 

 

红色蜘蛛图标

病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为设立后门,使用户电脑沦为傀儡主机。

用户中毒后,可能会出现计算机无故重启、关闭,重要文件丢失,系统及网络缓慢、摄像头无故启用、程序无故关闭、注册表被修改、出现各类病毒等导致用户隐私泄露及影响用户使用的现象。

感染对象:Windows 2000/Windows XP/Windows 2003

传播途径:网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);

 

 

图1 微点主动防御软件自动捕获未知病毒(未升级)

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Backdoor.Win32.Hupigon.qko”,请直接选择删除(如图2)。

 

 

图2 微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户,微点反病毒专家建议:

1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启Windows自动更新,及时打好漏洞补丁。

对于未使用微点主动防御软件的用户,微点反病毒专家建议:

1、手动删除以下文件:    

 

%SystemRoot%\system32\svhost.exe

2、手动删除以下注册表值:  

 

键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn 

变量声明:

 

%SystemDriver%         系统所在分区,通常为“C:\”
%SystemRoot%          WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%    用户文档目录,通常为“C:\Documents and Settings”
%Temp%             临时文件夹,通常为“C:\Documents and Settings\当前用户名称 \Local Settings\Temp”
%ProgramFiles%         系统程序默认安装目录,通常为:“C:\ProgramFiles”

病毒分析:

(1)读取并解密自己配置信息

(2)复制自身到%SystemRoot%\system32\svhost.exe

(3)注册服务,启动病毒

(4)创建IEXPLORE.EXE进程,把病毒代码注入进程

(5)创建批处理文件删除自身

(6)尝试连接黑客主机      

病毒创建文件: 

 

%SystemRoot%\system32\svhost.exe
%SystemRoot%\uninstal.bat 

病毒删除文件:

 

%SystemRoot%\uninstal.bat

病毒创建注册表:  

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn

病毒创建进程:    

 

IEXPLORE.EXE

病毒访问网络:    

 

sst12418***2.vicp.cc:50