§ 概述

病毒别名：TrojanSpy.Win32.Delf.dv【AVP】

处理时间：

威胁级别：★★

中文名称：黑鸽子

病毒类型：木马

影响系统：Win9x / WinNT

§ 病毒行为:

该病毒通过创建自启动服务来达到开机运行的目标，而通常做法是通过修改注册表的启动项来实现，使得病毒更隐蔽。该病毒运行之后会将自己复制到系统安装目录，并启动为开机运行的服务“simple tip ip server”，同时释放一个用来开始后门DLL文件。它修改IE设置，将IE主页改为“about:blank”，禁止IE检查是否默认主页，禁止网络链接向导等，以防止病毒开启IE时被用户发觉。然后它就在后台将IE启动为服务，再将释放的DLL文件加载到IE中，以逃过防火墙的检测。然后通知攻击者病毒的存在，让攻击者连接中毒电脑并控制该电脑。

1.创建互斥体Gpigeon_Shared_MUTEX防止病毒的多个实例运行。

2.将自己复制为%SystemRoot%\\server.exe，并将其加载为自动运行的系统服务“simple tip ip server”，同时还释放Dll文件server.dll，该文件大小为659968。

3.修改注册表：

添加主键以及表项，用来启动服务“simple tip ip server”:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\simple tip ip server

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="%SystemRoot%\\server.exe"

"DisplayName"="simple tip\\ip server"

"ObjectName"="LocalSystem"

"Description"="simple tip ip server"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\simple tip ip server\\Security

"Security"=<系统相关的十六进制代码>

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\simple tip ip server\\Enum

"0"="Root\\\\LEGACY_SIMPLE_TIP_IP_SERVER\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

【HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_SIMPLE_TIP_IP_SERVER】

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_SIMPLE_TIP_IP_SERVER\\0000

"Service"="simple tip ip server"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"=""

"DeviceDesc"="simple tip\\ip server"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_SIMPLE_TIP_IP_SERVER\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="simple tip ip server"

修改IE设置：

HKEY_USERS\\.Default\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\

"Connwiz Admin Lock"=dword:00000001

"Check_If_Default"=dword:00000000

HKEY_USERS\\.Default\\Software\\Microsoft\\Internet Explorer\\Main

"Start Page"="about:blank"

"default_page_url"="about:blank"

"First Home Page"="about:blank"

"Check_Associations"="no"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main

"Check_Associations"="no"

4.将IEXPLORE.EXE启动为服务，并将server.dll注入到该进程中，病毒以IEXPLORE.EXE身份访问网络，通知外界攻击者，然后开启后门，让攻击者链接并控制中毒电脑。

• 栖庇
• 栖影
• 栖心
• 栖志
• 栖情
• 栖惶
• 栖意
• 栖憩
• 栖所
• 栖景
• 栖枝
• 栖栖惶惶
• 栖梧
• 栖歇
• 栖止
• 栖毫
• 栖河
• 栖流所
• 栖滞
• 栖灵资源在线
• 栖生隐球藻
• 栖畔山庄
• 栖皇
• 栖神
• 栖窜