今天中了Backdoor.Gpigeon.lb 费了我好大劲【求助】
今天想查查毒,一查不要紧,好家伙!!
所有进程都被感染了一种:Backdoor.Gpigeon.lb
最糟的是我的防火墙没升级,查不出来。天哪!而且cpu占用率100%.
我折腾了一晚上用瑞星杀毒17.45杀了三遍(其中包括手工删除了一些文件,这个东东好像藏在回收站里)然后重起了两遍再查这才没有了。
但是还是不放心。谁能给介绍个专杀工具。谢谢了。
病毒采用Delphi编写,被压缩。
主要特点:
1。可以穿越防火墙远程控制用户机器。
2。使用madCodeHook开发包接管若干API,隐藏病毒文件,给用户杀毒造成障碍。
病毒运行后有以下行为:
一、病毒主程序运行后,把自己复制到系统目录,命名为“G_Server.exe”。
NT平台下,创建服务“Gray_Pigeon_Server”,以服务的方式启动病毒。
二、“G_Server.exe”运行后,释放“G_Server.Dll”
以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“G_Server.Dll”注入到
IEXPLORE.EXE”中。这样,在防火墙看来,病毒的网络访问都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问。
从进程管理器中,用户自然看不到可疑进程。
三、“G_Server.Dll”运行后,释放“G_Server_Hook.DLL”并注入每个进程,“G_Server_Hook.dll”使用madCodeHook开发包接管下列API。
kernel32.dll 的 FindNextFileA、FindNextFileW、LoadLibraryExW
ADVAPI32.DLL 的 EnumServicesStatusA、EnumServicesStatusW
ntdll.dll 的 NtQuerySystemInformation、NtTerminateProcess
