Win32.Troj.Gpigeon

Win32.Troj.Gpigeon,病毒,通過創建自啟動服務來達到開機運行的目標,而通常做法是通過修改註冊表的啟動項來實現,使得病毒更隱蔽。該病毒運行之後會將自己複製到系統安裝目錄,並啟動為開機運行的服務“simple tip ip server”,同時釋放一個用來開始後門DLL檔案。

概述

病毒別名:TrojanSpy.Win32.Delf.dv【AVP】
處理時間:
威脅級別:★★
中文名稱:黑鴿子
病毒類型:木馬
影響系統:Win9x / WinNT

病毒行為:

該病毒通過創建自啟動服務來達到開機運行的目標,而通常做法是通過修改註冊表的啟動項來實現,使得病毒更隱蔽。該病毒運行之後會將自己複製到系統安裝目錄,並啟動為開機運行的服務“simple tip ip server”,同時釋放一個用來開始後門DLL檔案。它修改IE設定,將IE主頁改為“about:blank”,禁止IE檢查是否默認主頁,禁止網路連結嚮導等,以防止病毒開啟IE時被用戶發覺。然後它就在後台將IE啟動為服務,再將釋放的DLL檔案載入到IE中,以逃過防火牆的檢測。然後通知攻擊者病毒的存在,讓攻擊者連線中毒電腦並控制該電腦。
1.創建互斥體Gpigeon_Shared_MUTEX防止病毒的多個實例運行。
2.將自己複製為%SystemRoot%\server.exe,並將其載入為自動運行的系統服務“simple tip ip server”,同時還釋放Dll檔案server.dll,該檔案大小為659968。
3.修改註冊表:
添加主鍵以及表項,用來啟動服務“simple tip ip server”:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%\server.exe"
"DisplayName"="simple tip\ip server"
"ObjectName"="LocalSystem"
"Description"="simple tip ip server"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server\Security
"Security"=<系統相關的十六進制代碼>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\simple tip ip server\Enum
"0"="Root\\LEGACY_SIMPLE_TIP_IP_SERVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER】
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000
"Service"="simple tip ip server"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"=""
"DeviceDesc"="simple tip\ip server"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="simple tip ip server"
修改IE設定:
HKEY_USERS\.Default\Software\Policies\Microsoft\Internet Explorer\Control Panel\
"Connwiz Admin Lock"=dword:00000001
"Check_If_Default"=dword:00000000
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
"Start Page"="about:blank"
"default_page_url"="about:blank"
"First Home Page"="about:blank"
"Check_Associations"="no"
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Check_Associations"="no"
4.將IEXPLORE.EXE啟動為服務,並將server.dll注入到該進程中,病毒以IEXPLORE.EXE身份訪問網路,通知外界攻擊者,然後開啟後門,讓攻擊者連結並控制中毒電腦。

相關詞條

相關搜尋

熱門詞條

聯絡我們