Backdoor.Huigezi.bm_病毒数据库

病毒名称: Backdoor.Huigezi.bm 类别：后门病毒病毒资料：      破坏方法：

    后门病毒“灰鸽子”，Delphi 编写，被压缩。

    主要特点：

    1.可以穿越防火墙远程控制用户机器。

    2.使用madCodeHook开发包接管若干API,隐藏病毒文件，给用户杀毒造成障碍。
    病毒的破坏行为如下：

    一、病毒主程序运行后，把自己复制到系统目录，命名为“G_server.exe”。
    Win9x和WinMe下，病毒添加自启动项SoftWare\Microsoft\Windows\CurrentVersion\Run
    NT平台下，创建服务“GrayPigeonServer”，以服务的方式启动病毒。

    二、“G_server.exe”运行后，释放“G_server.dll”，然后把该dll注入到“EXPlorer.exe”病毒使用madCodeHook开发包的madRemote模块注模块。

    以隐藏方式启动浏览器“IEXPLORE.EXE”。以远程线程的方式把“G_server.dll”注入到IEXPLORE.EXE”中。这样，在防火墙看来，病毒的网络访问都是“IEXPLORE.EXE”，而且是80端口，都会认为是正常访问。从进程管理器中，用户自然看不到可疑进程。

    三、“G_server.dll”是病毒后门功能模块，每隔30秒钟，向指定网址提交本地信息：

    系统芯片:
    物理内存:
    Windows版本:
    Windows目录:
    注册公司:
    注册用户:
    当前用户:
    当前日期:
    开机时间:
    计算机名称:
    窗口分辨率:
    服务端版本:
    剪切板内容：
    本地ip地址.

    安装名称:
    VIP用户名:
    备用上线地址:
    上线分组:
    上线备注:
    连接密码:
    服务名称:
    服务显示名称:
    服务描述信息:

    病毒提供下列远程控制功能：
    安装文件
    启动键盘记录
    停止键盘记录
    结束指定的进程

    从新启动计算机
    启动CMD程序
    执行系统命令
    获取系统信息
    共享文件夹
    从指定的地址中下载文件。

    四、病毒把“G_Server_Hook.dll”使用madCodeHook开发包接管下列API。

    kernel32.dll 的 FindNextFileA、FindNextFileW
    ADVAPI32.DLL 的 EnumServicesStatusA、EnumServicesStatusW
    ntdll.dll 的 NtQuerySystemInformation、NtTerminateProcess

    病毒有个共享数据区：
    “GPigeon5_Shared_HIDE”，里面可以包含四个文件，病毒这些文件病防止终止相应进程。所以，一旦感染病毒，用户看不到病毒文件。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2005-1-26