灰鸽子2007分析报告

病毒名：Win32.Hack.Huigezi.jn	处理时间：2007-02-26	威胁级别：★★
中文名称：灰鸽子2007	病毒类型：黑客程序	影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为: 这是一个黑客后门，中毒后病毒在后台连接远程黑客主机，使用户主机完全受控于黑客，黑客甚至可以查看用户主机的摄像头，使用户利益及隐私受到极大危害。  1、复制自身到%windows%\G_Server2007.exe,并释放一个病毒文件到%Windows%\G_Server2007.dll.（病毒文件名可变，根据病毒生成时的输入而定） 2、修改注册表，添加服务自启动（服务名可变，根据病毒生成时的输入而定）： HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "Type" = 0x110  HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "Start" = 0x2  HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "ErrorControl" = 0x0  HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "ImagePath" = "C:\WINDOWS\G_Server2007.exe"  HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "DisplayName" = "GrayPigeon2007"  HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "ObjectName" = "LocalSystem"  HKLM\System\CurrentControlSet\Services\ServerGrayPigeon2007\ "Description" = "灰鸽子远程管理软件服务端程序！"  HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVERGRAYPIGEON2007 3、注入explorer.exe或iexplore.exe（根据病毒文件生成是的设置而定），连接远程黑客主机，接受黑客控制，包括： 修改注册表 浏览文件 查看系统信息 查看进程 操作窗口 记录键盘 操作服务 修改共享 开启代理 MS-DOS模拟 监视远程屏幕 操控语音视频 远程登陆 关闭、重启机器等 4、通过HOOK API的方式实现病毒文件及病毒进程的隐藏，用普通方法无法看到。