Win32.Hack.Hupigon.j病毒行为
发布网友
发布时间:2024-10-20 17:14
共1个回答
热心网友
时间:2024-11-10 00:00
Win32.Hack.Hupigon.j病毒在执行时,首先创建一个互斥量"Gpigeon_Shared_MUTEX",以防止自身重复运行。病毒会将自身复制到%SystemRoot%\Pmsns.exe,并释放两个DLL文件:Pmsns.DLL和Pmsns_Hook.DLL,通过批处理文件"C:\uninstal.bat"删除原始病毒文件。
病毒将主程序注册为系统服务"Portable Media Serial Number S",以服务模式启动,将Pmsns_Hook.DLL注入除特定进程(如smss.exe)外的所有进程,并对FindNextFileA、FindNextFileW等API进行挂钩,以隐藏自身、进程和IEXPLORE.EXE,以及病毒服务,并能监控和控制病毒进程。为了穿透防火墙与外界通信,病毒会创建临时服务"mchInjDrv",将Pmsns.DLL注入IEXPLORE.EXE进程中。
病毒修改注册表,设置服务属性,使其以服务方式启动。例如,"Portable Media Serial Number S"服务的启动类型和路径信息。同时,它还会创建临时服务"mchInjDrv",以特定文件名启动并删除自身。
病毒模块Pmsns.DLL会定期向远程主机发送本地系统信息,如CPU型号、内存大小、Windows版本、系统目录等。当控制端连接后,病毒允许执行多种远程操作,如更新病毒、键盘记录、终止进程、重启电脑、运行命令、获取系统信息、共享文件以及从指定IP下载文件。
扩展资料
这是“灰鸽子”后门病毒的一个变种。病毒将释放两个DLL文件Pmsns.DLL和Pmsns_Hook.DLL,通过创建远程进程的方式将Pmsns_Hook.DLL并将病毒文件Pmsns_Hook.DLL注入到除少数几个无法注入(比如“smss.exe”)以外的所有进程,然后挂钩某些API,从而隐藏病毒文件、病毒进程和IEXPLORE.EXE进程、病毒服务、阻止病毒进程并关闭。
