Win32.Hack.Huigezi.jn

病毒别名： 处理时间：2007-02-26 威胁级别：★★

中文名称：灰鸽子2007 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个黑客后门，中毒后病毒在后台连接远程黑客主机，使用户主机完全受控于黑客，黑客甚至可以查看用户主机的摄像头，使用户利益及隐私受到极大危害。

1、复制自身到%windows%\\G_Server2007.exe,并释放一个病毒文件到%Windows%\\G_Server2007.dll.（病毒文件名可变，根据病毒生成时的输入而定）

2、修改注册表，添加服务自启动（服务名可变，根据病毒生成时的输入而定）：

HKLM\\System\\CurrentControlSet\\Services\\ServerGrayPigeon2007\\

"Type" = 0x110

HKLM\\System\\CurrentControlSet\\Services\\ServerGrayPigeon2007\\

"Start" = 0x2

HKLM\\System\\CurrentControlSet\\Services\\ServerGrayPigeon2007\\

"ErrorControl" = 0x0

HKLM\\System\\CurrentControlSet\\Services\\ServerGrayPigeon2007\\

"ImagePath" = "C:\\WINDOWS\\G_Server2007.exe"

HKLM\\System\\CurrentControlSet\\Services\\ServerGrayPigeon2007\\

"DisplayName" = "GrayPigeon2007"

HKLM\\System\\CurrentControlSet\\Services\\ServerGrayPigeon2007\\

"ObjectName" = "LocalSystem"

HKLM\\System\\CurrentControlSet\\Services\\ServerGrayPigeon2007\\

"Description" = "灰鸽子远程管理软件服务端程序！"

HKLM\\SYSTEM\\CURRENTCONTROLSET\\ENUM\\ROOT\\LEGACY_SERVERGRAYPIGEON2007

3、注入explorer.exe或iexplore.exe（根据病毒文件生成是的设置而定），连接远程黑客主机，接受黑客控制，包括：

修改注册表

浏览文件

查看系统信息

查看进程

操作窗口

记录键盘

操作服务

修改共享

开启代理

MS-DOS模拟

监视远程屏幕

操控语音视频

远程登陆

关闭、重启机器等

4、通过HOOK API的方式实现病毒文件及病毒进程的隐藏，用普通方法无法看到。