隨著微軟“黑屏行動”拉開序幕，黑客開始利用以往的老病毒進行大量的加工，冒用“正版微軟黑屏補丁”的名義進行傳播，借助“利用近期用戶試圖破解微軟正版驗證機制的心里”以欺騙用戶的方式將灰鴿子后門安裝到用戶計算機上，從而對用戶進行遠程控制。下面讓我們來介紹一下其中一個經過黑客加工的灰鴿子程序的分析報告。

病毒名稱：BackdoorWin32.Huigezi.aemr

捕獲時間：2008-10-20

感染對象：Windows 2000/Windows XP/Windows 2003

傳播途徑：網頁木馬、文件捆綁

病毒癥狀

該樣本是使用“Delphi”編寫的“后門程序”，采用加區段改變入口點和文件特征免殺的方式躲避殺毒軟件特征碼掃描的查殺。樣本長度為732,160 字節圖標為 ，該病毒程序被執行后，首先釋放解壓后的灰鴿子文件“WINDOW~1.EXE”到%tmp%\IXP000.TMP目錄下執行。 而“WINDOW~1.EXE”被執行后創建互斥體“hacker.com.cn_MUTEx”防止計算機中多個實例運行：

判斷自身執行映像路徑，如不是%SystemRoot%則將自身拷貝為到%SystemRoot%目錄下，設置文件屬性為“系統”、“隱藏”、“只讀”后，檢測自身服務是否存在，如不存在則休眠1000ms后創建后門服務并啟動該服務，服務描述如下：

服務相關描述

服務名稱 = Windows.Update.Microsoft

顯示名稱 = Windows.Update.Microsoft

啟動類型 = SERVICE_AUTO_START（自動方式）

服務映像 = %SystemRoot%\Windows.Update.Microsoft.exe

注冊表相關項

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows.Update.Microsoft

后門程序激活后通過調用API函數對中毒的用戶遠程控制，對計算機進行文件管理、注冊表管理、遠程關機、遠程桌面、開啟攝像頭等黑客動作。

在分析中發現，該病毒制造者非常狡猾，為了躲避殺毒軟件的查殺，對樣本進行

免殺處理，從分析發現病毒制造者抹去了很多殺毒軟件定位的特征字符串，抹去的字符串用333333以及書山有路勤為徑~學海無涯苦成功的字符串來代替。

防范措施：

已安裝使用微點主動防御軟件的用戶，無須任何設置，微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版，微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”，請直接選擇刪除處理（如圖1）；

如果您已經將微點主動防御軟件升級到最新版本，微點將報警提示您發現"Backdoor.Win32.Huigezi.aemr”，請直接選擇刪除（如圖2）。

對于未使用微點主動防御軟件的用戶，微點反病毒專家建議：

1、不要在不明站點下載非官方版本的軟件進行安裝，避免病毒通過捆綁的方式進入您的系統。

2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺，并開啟防火墻攔截網絡異常訪問，如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。