mjp3616 - 2006-5-2 16:37:00
O23 - Service: Network Shell Hardware (NSLHA) - Unknown owner - C:\WINDOWS\system32\conn.exe
轩辕小聪 - 2006-5-2 16:39:00
看这名字,有点像。可以用IceSword查看一下是否有隐藏的IE进程,此进程的模块中是否有与这个C:\WINDOWS\system32\conn.exe相对应的DLL文件。
世纪情缘1 - 2006-5-2 17:02:00
看文件名有点问题
影子110 - 2006-5-2 17:15:00
病毒分类 WINDOWS下的PE病毒 病毒名称 BackDoor.Huigezi.ac
行为类型 WINDOWS下的木马程序 感 染
瑞 星 版 本 号
17.10
后门病毒“灰鸽子”,可以穿越防火墙远程控制用户机器。
Delphi编写,被压缩。
一、复制自身到系统目录,命名为“conn.exe”,379,904 字节;
同时释放“conn.DLL”,341,504 字节。
这两个文件的属性都被设置为“隐藏”、“只读”、“系统”。
二、把病毒主程序注册为系统服务“Serv”。以服务的方式启动病毒。
1、使用互斥量“Gpigeon_Shared_MUTEX”防止自身重复运行。
2、删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
的“NoRealMode”,禁止用户在DOS下察看病毒文件。
3、使用“C:\uninstal.bat”,把原来的文件删除。
三、病毒运行后,以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“conn.DLL”注入到
IEXPLORE.EXE”中。这样,在防火墙看来,病毒的网络访问都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问。
从进程管理器中,用户自然看不到可疑进程。
四、病毒模块“conn.DLL”每隔30秒钟,向“viphanker.126.com”提交本地信息:
影子110 - 2006-5-2 17:17:00
可能不是同一时期的东西~(变种~)
© 2000 - 2026 Rising Corp. Ltd.