灰鸽子新版病毒进程内容替换并加监视

继灰鸽子木马宣称退出江湖之后的一段时间内，金山反病毒中心截获的灰鸽子相关病毒，主要是以加壳做免杀为主。上周末，金山反病毒中心截获一重大变化的灰鸽子新变种，证实灰鸽子并未退出江湖，在经过短暂的静默之后，正在图谋收复失地。新版灰鸽子的主要更新有：采用进程内容替换技术和双进程互相监视技术，大大提高自我保护的能力；进程内容替换是指：病毒启动一个Iexplore.exe 进程，然后把该进程的内容替换为病毒进程的内容。从而具备更深的隐藏性。进程互相监视：病毒此次启动了Iexplre.exe和Calc.exe（计算器）两个进程，并都使用了进程内容替换技术，将这两个进程替换为病毒进程。此时内存中存在两个病毒进程，它们会相互守护，当发一其中任意一个被结束时，未被结束的进程会将其重新启动。据金山反病毒中心监测的结果，目前该变种感染量还较小，但可能成为AVKiller（AV终结者）之类的木马下载器重点传播的后门程序。也就是说，新版灰鸽子可能会和AV终结者狼狈为奸，对电脑用户造成严重的安全威胁。提醒各位网友，下载AV终结者专杀工具，检查是否遭受“AV终结者”入侵，从而保证杀毒软件处于正常工作状态。[#page_详细分析报告#0#0#0#0#] 以下是该病毒的详细分析报告：这是一个Windows平台下的黑客病毒，中毒后，病毒会连接到远程的黑客主机，使用户机器完全受控于黑客。黑客可以查看、下载中毒机器上的任意文件，记录用户所有电脑操作，盗取用户QQ号码、网银等信息等。当用户主机连有摄像头时，黑客甚至可以通过摄像头对用户进行远程监视，造成用户数据、隐私泄露，危害极大。 1、将自身伪装成以下伪系统正常程序: %systemdir%ssms.exe 系统分区:Program FilesCommon FilesMicrosoft SharedMSInfo\_ssms.exe 2、添加如下病毒服务: 服务名: Windows-UP 显示名: Windows-UP_2007_71 服务描述: 系统最新安全补丁自动更新服务文件：%systemdir%ssms.exe 3、尝试删除QQ的键盘驱动文件npkcrypt.sys。 4、创建两个隐藏进程：%systemdir%calc.exe（系统自带的计算器进程）和系统分区:program filesinternet explorerIEXPLORE.EXE（IE进程），将这两个进程的代码替换成自己的病毒代码然后执行，这两个进程会互相守护。 5、病毒发作时，会主动连接病毒作者的控制端，成功连接病毒作者的控制端后，病毒作者能够实时获取用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程，也能够控制被感染机器关机或重启。小心！最新钓鱼网站利用百度MP3跳转挂木马病毒漏洞如何删除浏览器地址栏列表中文地址相关资讯木马灰鸽子

木马的自我修炼：金融恶意程序f0xy （02/03/2015 09:24:18）
恶意软件趋势：跨平台恶意软件崛起（11/12/2012 12:04:05）
Zemra 木马源代码泄露（07/04/2012 07:37:03）

安全研究人员：更多木马将目标锁定（11/22/2012 09:29:20）
McAfee：90%成移动恶意程序锁定（09/07/2012 05:46:33）
Flame恶意软件被设计为可窃取图纸（06/06/2012 01:35:29）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论