黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]灰鸽子又生变种akh，隐藏文件控制“肉鸡” [打印本页]

作者: hao123 时间: 2006-8-3 17:11 标题: [原创]灰鸽子又生变种akh，隐藏文件控制“肉鸡”

[watermark]安天实验室再次发现灰鸽子又生变种了，灰鸽子（Backdoor）作者现在还没有停止对灰鸽子的开发，最新的变种被安天实验室命名为Backdoor.Win32.Hupigon.akh。该病毒属后门类病毒，用户感染该病毒后服务端主机将被完全控制，使用安天木马防线可彻底清除该病毒。
用户系统被该病毒感染后会产生五种异常现象，具体如下：
1、添加到注册表服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer\GrayPigeonServer\
“并描述为灰鸽子远程管理软件服务端程序！”
2、在%Windir%新建三个文件.
g_server2006.dll 大小: 700,416字节  （实现后门功能）
g_server2006.exe 大小: 768,512字节（病毒复制的副本）
g_server2006key.dll 大小: 61,440字节
3、该.akh变种能具有隐藏文件的功能，但不具有隐藏自己注入的IEXPLORE.EXE进程的功能。
4、该后门能完全的控制服务端主机，包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。
手动清除方法：手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%windir%g_server2006.dll 大小: 700,416字节
%windir%g_server2006.exe 大小: 768,512字节
%windir%g_server2006key.dll
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer
[/watermark]

作者: ltes 时间: 2006-8-7 12:33 标题: [原创]灰鸽子又生变种akh，隐藏文件控制“肉鸡”

你描述的是未修改安装配置
如果修改了那就不能按你的方法找到相关的服务和文件了

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)