简介:【病毒名称】:灰鸽子最新变种专杀
【病毒名称英文】:Backdoor_GreyPigeon.QKO
【危害程度】: 中
【病毒类型】: 后门
【受影响系统】:windows 2000,windows xp,windows Vista
病毒危害:
病毒运行后将其自身拷贝到受感染操作系统的系统目录下,生成与该目录中重要系统文件相似的文件名,并设置其属性为隐藏、系统、只读中的一种,使得计算机用户无法察觉后门程序的存在。同时,它会创建某些系统服务和修改注册表,以实现随操作系统一起自启动。它还会在受感染操作系统中新建浏览器IE进程,并将病毒文件自身插入到该进程中。
病毒行为:
病毒运行后,复制自身到系统目录下,重命名为:Server.exe;
查找%system32%\drivers目录下是否存在klif.sys文件,开启iexplore.exe进程;
加载ntdll.dll,动态获取ZwUnmapViewOfSection函数,利用该函数获取当前进程的基址,申请内存空间,将病毒代码写入iexplore.exe进程中;
创建病毒服务,以服务方式启动病毒文件,病毒运行完毕后删除自身;
系统利用iexplore.exe连接网络进行通信,等待接收病毒作者发送的控制命令。 |
