江民发布灰鸽子2005病毒技术分析报告

    病毒类型：后门

    病毒大小：380k左右

    危害等级：★★

    2005年1月6日江民反病毒中心截获灰鸽子病毒最新变种Backdoor/Huigezi.2005。该变种通过hook系统函数可以隐藏病毒自身文件和进程。

    具体技术特征如下：

    1.病毒运行后，
将创建下列文件：

    病毒运行后，将创建下列文件(安全模式下查看)：

    %WinDir%\IExplorer.exe，病毒程序

    %WinDir%\IExplorer.dll, 病毒程序

    %WinDir%\IExplorer_Hook.dll, 病毒程序

    2.通过修改如下注册表项，将病毒自身添加为服务

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Power supply management]

    3.将IExplorer_Hook.dll注入到系统每个进程中，通过hook系统函数来达到隐藏自身的目的。

    (1)隐藏病毒自身进程，通过任务管理器无法查找到病毒进程。

    (2)隐藏病毒自身文件，正常模式下查看不到病毒文件。

    (3)隐藏自身添加的服务，使自己从服务列表中消失。

    针对该病毒，江民公司已经在第一时间升级了病毒库，请您立即升级到1月6日病毒库，开启KV的实时监控和隐私保护功能，即可全面查杀该病毒，保护您的系统不受其侵害。