返回列表 发帖

[原创]变种灰鸽子,远程控制用户机

[watermark]原创:变种灰鸽子,远程控制用户机
    安天实验室又发现灰鸽子变种病毒Backdoor.Win32.Hupigon.bnn,该病毒属后门类。病毒运行后,删除自身,释放病毒文件%WINDIR%\g_server1.23.exe,%WINDIR%\Delete.bat,修改注册表,添加启动项,以达到随机启动的目的。开启服务System Event COM+,连接网络,开启端口,并利用批处理文件安装灰鸽子远程管理服务端,从而远程控制用户机器。该病毒对用户有较大危害。
    病毒分析师建议大家使用木马防线,可彻底清除此病毒,如需手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程g_server1.23.exe。
(2) 删除病毒文件
    %WINDIR%\g_server1.23.exe
    %WINDIR%\Delete.bat
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
    HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
    \CurrentVersion\Run
    键值:字串:"病毒名"="病毒所在路径\病毒名"
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
    键值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
    \LEGACY_SYSTEM_EVENT_COM+\0000\Control\
    键值: 字串: "ActiveService "="System Event COM+"
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
    键值: 字串: " System Event COM+"="提供终结点映射程序以及其它 RPC 服务。    "
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
    \System Event COM+
    键值: 字串: "Enum "="Root\LEGACY_SYSTEM_EVENT_COM+\0000"
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
    \System Event COM+\
    键值: 字串: "ImagePath "="C:\WINDOWS\G_Server1.23.exe"
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
    \System Event COM+\
    键值: 字串: "ObjectName "="LocalSystem"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    键值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
相关链接请参见:http://www.antiy.com/security/report/20060808.htm
[/watermark]

[原创]变种灰鸽子,远程控制用户机

能看见进程 还是灰鸽子吗

TOP

返回列表 回复 发帖