Backdoor.Win32.Huigezi.pigenon分析

病毒标签：
病毒名称： Backdoor.Win32.Huigezi.pigenon
中文名称： 灰鸽子
病毒类型： 后门
文件 MD5： 5CE74EB25E3CF47652307AEFDABBA0FF
公开范围： 完全公开
危害等级： 3
文件长度： 310,280字节
感染系统： windows98以上系统
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPolyX v0.5
命名对照： Symentec[]
　　　　　 BitDefender []

病毒描述：
　 该病毒属于后门类，运行病毒后显示“灰鸽子远程控制服务端安装成功！”且删除自身。复制自身到%windir%下，修改注册表，隐藏病毒进程和病毒文件。开启服务，以达到随机启动的目的，该病毒可远程控制用户计算机。
行为分析：
1、病毒运行后衍生病毒文件且删除自身：

%windir%\Hacker.com.cn.exe

2、病毒运行后修改注册表：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\Control\
键值：字串：” ActiveService”=”GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
键值：字串：” DeviceDesc”=”GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
键值：字串：" Service"=" GrayPigeon_Hacker.com.cn "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：” Description”=”灰鸽子服务端程序。远程监控管理.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：" DisplayName"=" GrayPigeon_Hacker.com.cn "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：" ImagePath"=" C:\WINNT\ Hacker.com.cn .exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn \Enum
键值：字串："0"=" Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000 "

3、病毒运行后开启服务：

显示名称：GrayPigeon_Hacker.com.cn
描述：灰鸽子服务端程序。远程监控管理.
可执行文件的路径：C:\WINNT\Hacker.com.cn.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。


--------------------------------------------------------------------------------
清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件:

%windir%\Hacker.com.cn.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\Control\
键值：字串：” ActiveService”=”GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
键值：字串：” DeviceDesc”=”GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
键值：字串：" Service"=" GrayPigeon_Hacker.com.cn "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：” Description”=”灰鸽子服务端程序。远程监控管理.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：" DisplayName"=" GrayPigeon_Hacker.com.cn "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\ GrayPigeon_Hacker.com.cn \
键值：字串：" ImagePath"=" C:\WINNT\ Hacker.com.cn .exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\GrayPigeon_Hacker.com.cn \Enum
键值：字串："0"=" Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000 "

(4)关闭服务GrayPigeon_Hacker.com.cn