Backdoor.Win32.Hupigon.cj[AVP]

最新推荐文章于 2021-08-09 17:37:03 发布
最新推荐文章于 2021-08-09 17:37:03 发布
阅读量1.3k 收藏
点赞数
分类专栏: 心情随笔 文章标签: 防火墙 windows api dll security dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hkbyest/article/details/1325576
版权

病毒别名:Win32.Hack.Hupigon.j

处理时间:
威胁级别:★★
中文名称:灰鸽子变种J
病毒类型:黑客程序
影响系统:Win9x / WinNT
病毒行为:
这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。用户无法使用常规的方式发现病毒的踪影:使用资源管理器无法看到病毒文件,使用任务管理器查看不到病毒进程。病毒运行后,以创建服务、远程注入、挂钩API等方式隐秘启动浏览器“IEXPLORE.EXE”,在防火墙看来,访问网络的进程都是“IEXPLORE.EXE”,而且是80端口,都会认为是正常访问,从而可以穿越防火墙远程控制用户机器。“灰鸽子”病毒使用了多种方式隐藏自己的踪迹,普通用户难以发现并杀除。


1.创建互斥量“Gpigeon_Shared_MUTEX”,防止自身重复运行。

2.将自身复制为%SystemRoot%/Pmsns.exe,并释放病毒DLL文件:
%SystemRoot%/Pmsns.DLL (Win32.Hack.Hupigon.j)
%SystemRoot%/Pmsns_Hook.DLL (Win32.Hack.Hupigon.j)

使用批处理文件“C:/uninstal.bat”,删除原始文件。

3.将病毒主程序注册为系统服务“Portable Media Serial Number S”,以服务的方式启动病毒,并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩以下API:
FindNextFileA
FindNextFileW
NtQuerySystemInformation
NtTerminateProcess
EnumServicesStatusW
EnumServicesStatusA

以隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务,并且阻止病毒进程并关闭。
将IEXPLORE.EXE进程创建为临时服务“mchInjDrv”,然后将Pmsns.DLL注入到IEXPLORE.EXE进程,用来穿透防火墙,与外界控制端通信。
使用文件映射名“GPigeon5_Shared”、“Pigeon5_Shared_HIDE”来进行病毒间的数据交换。

4.修改注册表,与服务相关,使得病毒能够以服务的方式启动病毒。
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Portable Media Serial Number S]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%/Pmsns.exe"
"DisplayName"="Pmsns"
"ObjectName"="LocalSystem"
"Description"="Rtrieves the serial number of any "

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Portable Media Serial Number S/Security]
"Security"="<系统相关>"

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Portable Media Serial Number S/Enum]
"0"="Root/LEGACY_PORTABLE_MEDIA_SERIAL_NUMBER_S/0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="/??/%SystemRoot%/<随机文件名>"
"DeleteFlag"=dword:00000001

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/mchInjDrv/Enum]
"0"="Root/LEGACY_MCHINJDRV/0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

删除键值:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp
“NoRealMode”,禁止用户在DOS下察看病毒文件。

5.病毒模块Pmsns.DLL每隔一定时间向远程主机发送本机信息:
系统芯片
物理内存
Windows版本
Windows目录
注册公司
注册用户
当前用户
当前日期
开机时间
计算机名称
计算机分辨率
服务端版本
剪切板内容
本地IP地址

当控制端连接到中毒计算机以后,病毒可以执行以下远程控制命令:
更新病毒
启动键盘记录
停止键盘记录
结束指定的进程
重启计算机
启动命令行程序
执行系统命令
获取系统信息
共享文件夹
从指定的IP下载文件

 

近段时间来发现多台电脑都中了这个东东,特搜索一下记录.

hkbyest
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DarkKomet病毒研究与处置
不忘初心,护天下安全!
06-11 3047
DarkKomet 是一类后门木马程序的总称,主要功能主要是对用户行为进行监控,并为攻击者开启系统后门,窃取用户信息,该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。尽管木马作者于2012年已停止了对“暗黑彗星”木马的更新,但是目前仍有大量攻击者使用该工具进行网络攻击。运行平台:Windows 2000, Windows Server 2003, Windows
104种木马病毒清除方法
11-25
104种木马病毒清除方法 1. 冰河v1.1 v2.2 这是国产最好的木马 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的两个路径,并删除 " C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe"
[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)
caobihole
07-27 419
endurer 原创2006-07-28 第2版 被充杀毒软件的反应2006-07-27 第1版 该网站首页被加入代码:--------------<iframe src=hxxp://duolaa***meng.diy.myrice.com/bushan.htm width=0 height=0 frameborder=0></iframe>-------------- hxxp://duo...
Backdoor.Win32.Rbot病毒防治
塔维斯
08-27 2063
Backdoor.Win32.Rbot病毒是一个恶意后门病毒,中毒的机器会在后台下载更多恶意程序,可造成用户机器被远程控制,资料被盗等。该病毒最典型的特征是在有可执行文件的目录下生成LPK.DLL文件,当同目录中的EXE运行时,会被WINDOWS动态链接,从而激活病毒,导致不能彻底清除。 该样本是使用“VC”编写的盗号木马,采用“NSpack”加壳方式,企图躲避特征码扫描,加壳后长度为“16,9
为什么不要随便点击下载链接:过时的远程病毒灰鸽子木马示范
来到了学渣的博客
02-11 3952
实验环境: 2003系统靶机 ip:192.168.10.128 2007黑客攻击机 灰鸽子软件 要说的话 1.灰鸽子木马是很古老的木马,早已经列入检测的范围内,即使关闭了杀软、防火墙,生成的exe病毒还是会被干掉。所以所有的步骤,最好都以虚拟机作为实验环境。 2.为什么不要随便点击下载链接,因为下载内容里边很可能会携带一些木马病毒程序,一但下载,很可能会自动运行、并且受害者电脑毫无变化,但是攻...
Backdoor.Win32.Rbot病毒专杀
02-17
重新启动,打开工具直接绿色运行,本工具是经过在xp系统上测试过的,没有问题,win7还没有测试
Backdoor.Win32.Hupigon.dsx专杀
06-14
【病毒名称】:Backdoor.Win32.Hupigon.dsx 【病毒类型】:后门 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 病毒运行后,首先修改该系统时间,致使一些杀软安软因系统时间不符...
Linux.BackDoor.Gates.5木马处理文档
11-13
生产使用的Linux.BackDoor.Gates.5木马处理文档!
Backdoor.Win32.Delf.aws
03-29
Backdoor.Win32.Delf.aws 病毒样本。
php_backdoor.php
06-11
大马文件
手工清除灰鸽子蠕虫病毒方法
11-10
主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份
灰鸽子病毒大全
edison20的专栏
11-11 982
http://www.enet.com.cn/security/zhuanti/huigezi0315/好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 
[转帖] 关于灰鸽子 G_server 病毒(我也中了。。。。)
aurums的专栏
02-16 2392
中了G_server病毒无法清除的,进来看 一、清除灰鸽子的服务    2000/XP系统:  1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Services 注册表项。    2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.
正版灰鸽子官方下载地址
weixin_33949359的博客
09-18 868
正版灰鸽子官方下载地址06灰鸽子官方下载地址: [url]http://www.huigezi.net/down/Vip2006setup.exe[/url] 07 测试版 [url]http://www.huigezi.net/down/VIP2007Beta1.exe[/url] ...
木马病毒 勒索病毒解决办法链接
热门推荐
lulubaby_的博客
08-09 1万+
https://malwarefixes.com/
灰鸽子病毒简介
lin_xichun的专栏
06-22 4809
 灰鸽子 一、灰鸽子病毒简介 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法
灰鸽子木马的使用
我还在的博客
10-06 1万+
灰鸽子木马的使用0x00 前言0x01 环境0x02 利用过程 0x00 前言 这是我对灰鸽子木马的使用 的学习记录。 0x01 环境 服务端:windows XP sp3 客户端:windows XP sp3 0x02 利用过程 1.相互ping通 2.在客户端启动灰鸽子木马 3.打开程序,配置一个服务器端,服务器配置ip地址为本客户端,即被通知方的ip地址;上线分组选择默认自动上线分组,设置连...
monitor_control.restrict_backdoor
最新发布
09-17
monitor_control.restrict_backdoor是一种监控控制功能,用于限制后门的存在和使用。 在计算机系统中,后门是指由开发人员或黑客留下的一种隐藏程序或功能,可以绕过正常的安全认证和访问控制,从而非法进入系统或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值