Backdoor/Huigezi.2005 技术分析报告

病毒类型：后门

病毒大小：380k左右

危害等级：★★

2005年1月6日江民反病毒中心截获灰鸽子病毒最新变种Backdoor/Huigezi.2005。该变种通过hook系统函数可以隐藏病毒自身文件和进程。

具体技术特征如下：

1．病毒运行后，将创建下列文件：

病毒运行后，将创建下列文件(安全模式下查看)：

%WinDir%\\IExplorer.exe，病毒程序

%WinDir%\\IExplorer.dll, 病毒程序

%WinDir%\\IExplorer_Hook.dll, 病毒程序

2．通过修改如下注册表项，将病毒自身添加为服务

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Power supply management]

3．将IExplorer_Hook.dll注入到系统每个进程中，通过hook系统函数来达到隐藏自身的目的。

(1)隐藏病毒自身进程，通过任务管理器无法查找到病毒进程。

(2)隐藏病毒自身文件，正常模式下查看不到病毒文件。

(3)隐藏自身添加的服务，使自己从服务列表中消失。

针对该病毒，江民公司已经在第一时间升级了病毒库，请您立即升级到1月6日病毒库，开启KV的实时监控和隐私保护功能，即可全面查杀该病毒，保护您的系统不受其侵害。