病毒分类 WINDOWS下的PE病毒 病毒名称 BackDoor.Huigezi.ac
行为类型 WINDOWS下的木马程序 感 染
瑞 星 版 本 号
17.10
后门病毒“灰鸽子”,可以穿越防火墙远程控制用户机器。
Delphi编写,被压缩。
一、复制自身到系统目录,命名为“conn.exe”,379,904 字节;
同时释放“conn.DLL”,341,504 字节。
这两个文件的属性都被设置为“隐藏”、“只读”、“系统”。
二、把病毒主程序注册为系统服务“Serv”。以服务的方式启动病毒。
1、使用互斥量“Gpigeon_Shared_MUTEX”防止自身重复运行。
2、删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
的“NoRealMode”,禁止用户在DOS下察看病毒文件。
3、使用“C:\uninstal.bat”,把原来的文件删除。
三、病毒运行后,以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“conn.DLL”注入到
IEXPLORE.EXE”中。这样,在防火墙看来,病毒的网络访问都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问。
从进程管理器中,用户自然看不到可疑进程。
四、病毒模块“conn.DLL”每隔30秒钟,向“viphanker.126.com”提交本地信息:
