英文名称：Backdoor/Huigezi.rvh

　　中文名称：“灰鸽子”变种rvh

　　病毒类型：后门

　　文件大小：15,360 字节

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　该病毒添加3层保护壳。

　　全部脱壳后的程序入口点为：00003DCE。

　　采用编译器：Microsoft Visual C++ 6.0

　　对病毒主安装程序部分进行分析：

　　骇客通信地址，初始化读取解密：

　　"218.24.148.196:5000"

　　自我复制：

　　"C:\WINDOWS\system32\RacMondY.exe" ->文件属性设置为：系统、隐藏。

　　调用运行复制后的病毒体时使用的方式：

　　LoadLibraryA

　　\FileName = "kernel32.dll"

　　GetProcAddress

　　hModule = 7C800000 (kernel32)

　　ProcNameOrOrdinal = "CreateProcessInternalA"

　　CreateProcessInternalA

　　"C:\WINDOWS\system32\RacMondY.exe"

　　自我删除：

　　CreateProcessA

　　CommandLine = "C:\WINDOWS\system32\cmd.exe /c del C:\DOCUME~1\ADMINI~1\桌面\1.exe > nul"

　　关闭退出：

　　DS:[004040CC]=77C09E9A (msvcrt._exit)

　　对病毒“RacMondY.exe”的执行部分进行分析：

　　以服务方式启动运行(伪装自身为“瑞星”服务)：

　　CreateServiceA

　　0012FCBC 00145708 　hManager = 00145708

　　0012FCC0 004061C5 　ServiceName = "RacMondY"

　　0012FCC4 004061F7 　DisplayName = "RacMondY 瑞星服务"

　　0012FCC8 000F01FF 　DesiredAccess = SERVICE_ALL_ACCESS

　　0012FCCC 00000110 　ServiceType = SERVICE_WIN32_OWN_PROCESS　SERVICE_INTERACTIVE_PROCESS

　　0012FCD0 00000002 　StartType = SERVICE_AUTO_START

　　0012FCD4 00000000 　ErrorControl = SERVICE_ERROR_IGNORE

　　0012FCD8 0012FD28 　BinaryPathName = "C:\WINDOWS\system32\RacMondY.exe"

　　0012FCDC 00000000 　LoadOrderGroup = NULL

　　0012FCE0 00000000 　pTagId = NULL

　　0012FCE4 00000000 　pDependencies = NULL

　　0012FCE8 00000000 　ServiceStartName = NULL

　　0012FCEC 00000000 \Password = NULL

　　关闭退出：

　　DS:[004040CC]=77C09E9A (msvcrt._exit)

　　对病毒“RacMondY.exe”的服务部分进行分析：

　　修改自身进程的“PEB”结构表，把自己伪装成系统“svchost.exe”进程。

　　然后再去连接网络进行秘密通信，可以躲避掉防火墙的监控(利用白名单原理)。

　　在被感染计算机系统的后台“循环”连接骇客服务器进行秘密通信：

　　"218.24.148.196:5000"

　　会下载恶意程序(可能和自动更新有关)：

　　"URLDownloadToCacheFileA"

　　"c:\1.exe" <-保存文件名称

　　该病毒是一个远程控制后门程序，可以远程控制被感染的计算机，并且执行一些恶意性质的操作。

热门推荐：

网管经验：局域网维护和优化技巧

网吧上网需注意的5条防护技巧

【责任编辑 王凡】