中文名稱: 灰鴿子
病毒類型: 後門
檔案 MD5: D09111AA995D9CF2FED255D5AF9E1246
公開範圍: 完全公開
危害等級: 3
檔案長度: 893,952位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: SVKP 1.3x
命名對照: Symentec[無]
BitDefender [無]
病毒描述:
該病毒為後門類,病毒運行後刪除自身,衍生病毒檔案%Windir%\HACKER.COM.CN.exe和%System%\svkp.sys,病毒檔案hacker.com.cn.exe屬性為隱藏,修改註冊表,啟動服務,以達到隨機啟動的目的,用以在遠程控制用戶計算機。
行為分析:
1、病毒運行後釋放病毒檔案並且刪除自身:
%Windir%\hacker.com.cn.exe
%System%\svkp.sys
2、修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY
_GRAYPIGEON_HACKER.COM.CN\0000\Control\
鍵值:字串:”ActiveService”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY
_GRAYPIGEON_HACKER.COM.CN\0000\
鍵值:字串:”DeviceDesc”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY
_GRAYPIGEON_HACKER.COM.CN\0000\
鍵值:字串:”Service”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\Control\
鍵值:字串:”ActiveService”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\
鍵值:字串:”DeviceDesc”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\
鍵值:字串:”Service”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\
鍵值:字串:”Description”=”灰鴿子服務端程式。遠程監控管理.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\
鍵值:字串:”DisplayName”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\
鍵值:字串:”ImagePath”=”C:\WINNT\Hacker.com.cn.exe”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Enum\
鍵值:字串:”0”=”Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\
鍵值:字串:”DisplayName”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\
鍵值:字串:”ImagePath”=” \??\C:\WINNT\system32\SVKP.sys”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum\
鍵值:字串:”0”=”Root\LEGACY_SVKP\0000”
3、病毒運行後啟動服務:
顯示名稱:GrayPigeon_Hacker.com.cn
描述:灰鴿子服務端程式。遠程監控管理.
執行檔的路徑:C:\WINNT\Hacker.com.cn.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案:
%Windir%\hacker.com.cn.exe
%System%\svkp.sys
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\Control\
鍵值:字串:”ActiveService”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
鍵值:字串:”DeviceDesc”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000\
鍵值:字串:”Service”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_SVKP\0000\Control\
鍵值:字串:”ActiveService”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\
鍵值:字串:”DeviceDesc”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\
鍵值:字串:”Service”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\GrayPigeon_Hacker.com.cn\
鍵值:字串:”Description”=”灰鴿子服務端程式。遠程監控管理.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\GrayPigeon_Hacker.com.cn\
鍵值:字串:”DisplayName”=” GrayPigeon_Hacker.com.cn”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\GrayPigeon_Hacker.com.cn\
鍵值:字串:”ImagePath”=”C:\WINNT\Hacker.com.cn.exe”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\GrayPigeon_Hacker.com.cn\Enum\
鍵值:字串:”0”=”Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\
鍵值:字串:”DisplayName”=” SVKP”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\
鍵值:字串:”ImagePath”=” \??\C:\WINNT\system32\SVKP.sys”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum\
鍵值:字串:”0”=”Root\LEGACY_SVKP\0000”
