病毒名称： Backdoor.Win32.hupigon.end
中文名称： 灰鸽子
病毒类型： 后门
文件 MD5： a85824191e2db008e498743fc38601db
公开范围： 完全公开
危害等级： 5
文件长度： 278,016 字节
感染系统： windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： 未知壳
命名对照： AVG [无]
　　　　　 AntiVir [无]

　　该病毒属后门类，是灰鸽子的变种，病毒运行后衍生病毒文件到系统目录下，修改注册表，
创建服务，并以服务的方式达到随机启动的目的； 开启 mstsc.exe 进程，用以远程控制用户
机器。

1 、病毒运行后衍生病毒文件到系统目录下：

　　　　%WINDIR%\_serve.exe
　　　　%system32%\serve.exe
　　　　%system32%\paramstr.txt
　　　
2 、修改注册表：

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Netwok
　　　　键值：字串： "ImagePath"="C:\WINDOWS\system32\serve.exe"

3 、创建服务 ，并以服务的方式达到随机启动的目的：

　　　　服务名称： Windows Netwok
　　　　显示名称： Windows Netwok
　　　　描述： windows 网络组件
　　　　可执行文件的路径： C:\WINDOWS\system32\serve.exe
　　　　启动方式：自动

4 、paramstr.txt 记录原病毒运行的路径。

5 、开启 mstsc.exe 进程，用以远程控制用户机器。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用 安天木马防线 “进程管理”关闭病毒进程：
　　　　　　　mstsc.exe
　 　 (2)删除病毒文件：
　　　　　　　%WINDIR%\_serve.exe
　　　　　　　%system32%\serve.exe
　　　　　　　%system32%\paramstr.txt
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　　　　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
　　　　　　　Services\Windows Netwok
　　　　　　　键值：字串： "ImagePath"="C:\WINDOWS\system32\serve.exe"
　 　 (4)关闭服务。
　　　　　　　关闭服务 Windows Netwok
　　　　　　　并把该服务的启动方式改为：已禁止

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net