悠嘻猴 - 2008-9-18 16:23:00
软件名称:灰鸽子专杀
软件类别:专杀工具
软件版本:
软件大小:156KB
应用平台:Win2003/WinXP/Win2000/NT/WinME/Win9X/
更新时间:2008-09-11 11:13:11
授权方式:免费软件
软件说明
病毒评估
病毒名称:灰鸽子
病毒英文名: Trojan.Msn
病毒类型:木马后门
病毒危险等级:★★★★
病毒传播途径:邮件/网页
技术分析
木马程序采用Delphi编写
利用Word漏洞或浏览器漏洞,把木马程序下载到本机上运行:
木马把自身复制到Windows目录下改名为msn.exe,设为系统隐藏文件。然后试图打开Net_Scheduler服 务,若打开成功先删除这个服务,然后重新把msn.exe注册成为 Net_Scheduler服务,启动服务,从msn.exe中释放出MSN.DLL和MSNKEY.DLL(钩子DLL,安装WH_GETMESSAGE和WH_CALLWNDPROC)在msn.exe相同路径下,把msn.dll和msnkey.dll设为隐藏,然后先加载msn.dll,msn.dll再加载msnkey.dll,进行全局钩子注入。整个过程完全过后,原始程序退出并进行自我删除。
msnkey.dll的功能是记录输入信息;
msn.dll是远程控制服务端,具有记录键盘,摄像头控制,文件上传/下载/执行功能;
msn.exe是自动启动服务.
原文地址:http://www.sanlen.com/down/sl_down_91.htm