黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]变种灰鸽子，远程控制用户机 [打印本页]

作者: hao123 时间: 2006-8-9 14:47 标题: [原创]变种灰鸽子，远程控制用户机

[watermark]原创:变种灰鸽子，远程控制用户机
安天实验室又发现灰鸽子变种病毒Backdoor.Win32.Hupigon.bnn，该病毒属后门类。病毒运行后，删除自身，释放病毒文件%WINDIR%\g_server1.23.exe，%WINDIR%\Delete.bat，修改注册表，添加启动项，以达到随机启动的目的。开启服务System Event COM+，连接网络，开启端口，并利用批处理文件安装灰鸽子远程管理服务端，从而远程控制用户机器。该病毒对用户有较大危害。
病毒分析师建议大家使用木马防线，可彻底清除此病毒，如需手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程g_server1.23.exe。
(2) 删除病毒文件
%WINDIR%\g_server1.23.exe
%WINDIR%\Delete.bat
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
\CurrentVersion\Run
键值：字串："病毒名"="病毒所在路径\病毒名"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
键值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_SYSTEM_EVENT_COM+\0000\Control\
键值: 字串: "ActiveService "="System Event COM+"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
键值: 字串: " System Event COM+"="提供终结点映射程序以及其它 RPC 服务。 "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+
键值: 字串: "Enum "="Root\LEGACY_SYSTEM_EVENT_COM+\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
键值: 字串: "ImagePath "="C:\WINDOWS\G_Server1.23.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
键值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
键值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
相关链接请参见：http://www.antiy.com/security/report/20060808.htm
[/watermark]

作者: 我是中国人 时间: 2006-8-26 01:09 标题: [原创]变种灰鸽子，远程控制用户机

能看见进程还是灰鸽子吗

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)