Backdoor/Huigezi.2005 技术分析报告

　　2005年1月6日江民反病毒中心截获灰鸽子病毒最新变种Backdoor/Huigezi.2005。该变种通过hook系统函数可以隐藏病毒自身文件和进程。

　　具体技术特征如下：

　　1．病毒运行后，将创建下列文件：
　　病毒运行后，将创建下列文件(安全模式下查看)：
　　%WinDir%IExplorer.exe，病毒程序
　　%WinDir%IExplorer.dll, 病毒程序
　　%WinDir%IExplorer_Hook.dll, 病毒程序

　　2．通过修改如下注册表项，将病毒自身添加为服务
　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPower supply management]

　　3．将IExplorer_Hook.dll注入到系统每个进程中，通过hook系统函数来达到隐藏自身的目的。

　　(1)隐藏病毒自身进程，通过任务管理器无法查找到病毒进程。
　　(2)隐藏病毒自身文件，正常模式下查看不到病毒文件。
　　(3)隐藏自身添加的服务，使自己从服务列表中消失。