[原创]灰鸽子又生变种akh,隐藏文件控制“肉鸡”
[watermark]安天实验室再次发现灰鸽子又生变种了,灰鸽子(Backdoor)作者现在还没有停止对灰鸽子的开发,最新的变种被安天实验室命名为Backdoor.Win32.Hupigon.akh。该病毒属后门类病毒,用户感染该病毒后服务端主机将被完全控制,使用安天木马防线可彻底清除该病毒。
用户系统被该病毒感染后会产生五种异常现象,具体如下:
1、添加到注册表服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer\GrayPigeonServer\
“并描述为灰鸽子远程管理软件服务端程序!”
2、在%Windir%新建三个文件.
g_server2006.dll 大小: 700,416字节 (实现后门功能)
g_server2006.exe 大小: 768,512字节 (病毒复制的副本)
g_server2006key.dll 大小: 61,440字节
3、该.akh变种能具有隐藏文件的功能,但不具有隐藏自己注入的IEXPLORE.EXE进程的功能。
4、该后门能完全的控制服务端主机,包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。
手动清除方法:手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%windir%g_server2006.dll 大小: 700,416字节
%windir%g_server2006.exe 大小: 768,512字节
%windir%g_server2006key.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer
[/watermark] |
