Backdoor.win32.huigezi.gen
病毒類型: 後門檔案 MD5: 132EB480CD95753826C8A709784B832C
公開範圍: 完全公開
危害等級: 4
檔案長度: 820,224 位元組
感染系統: windows98 以上系統
開發工具: Borland Delphi 6.0 - 7.0加殼類型: SVKP 1.3x -> Pavol Cerven
命名對照: Symentec[無]
Mcafee[ 無 ]
病毒描述:
該病毒屬於後門類病毒。病毒運行後刪除自身,衍生病毒檔案到系統目錄下,修改註冊表,開啟 Gray sever process launcher服務,插入iexplore.exe進程以達到隨機啟動的目的,並連線網路,該病毒開啟後門服務可以使病毒利用者連線並控制中毒的機器。
行為分析:
1、 衍生和下載的病毒檔案:
%system32%\svkp.sys
%windir%\system3key.log
2、 添加的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\Class
值 : 字元串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\ClassGUID
值 : 字元串: ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\ConfigFlags
值 : DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\Control\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\Control\*NewlyCreated*
值 : DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\Control\ActiveService
值 : 字元串: "Gray Server Process Launcher"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\DeviceDesc
值 : 字元串: "Gray Server Process Launcher"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\Legacy
值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\0000\Service
值 : 字元串: "Gray Server Process Launcher"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAY_SERVER_PROCESS_LAUNCHER\NextInstance
值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\Class
值 : 字元串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\ClassGUID
值 : 字元串: ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\ConfigFlags
值 : DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\Control\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\Control\*NewlyCreated*
值 : DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\Control\ActiveService
值 : 字元串: "SVKP"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\DeviceDesc
值 : 字元串: "SVKP"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\Legacy
值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\0000\Service
值 : 字元串: "SVKP"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_SVKP\NextInstance
值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SVKP\DisplayName
值 : 字元串: "SVKP"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SVKP\Enum\0
值 : 字元串: "Root\LEGACY_SVKP\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SVKP\Enum\Count
值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SVKP\Enum\NextInstance
值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SVKP\ErrorControl
值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SVKP\Start
值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SVKP\Type
值 : DWORD: 1 (0x1)
4、 開起 Gray sever process launcher服務:
服務描述:為gray服務提供載入功能。
5、連線網路:
IP:222.187.247.79
連線埠:3256
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的
安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\svkp.sys
%windir%\system3key.log
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
(4) 禁止 Gray sever process launcher服務。