英文名称：Backdoor/Huigezi.rvh

　　中文名称：“灰鸽子”变种rvh

　　病毒类型：后门

　　文件大小：15,360 字节

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　该病毒添加3层保护壳。

　　全部脱壳后的程序入口点为：00003DCE。

　　采用编译器：Microsoft Visual C++ 6.0

　　对病毒主安装程序部分进行分析：

　　------------------------------------------------------------------------

　　骇客通信地址，初始化读取解密：

　　"218.24.148.196:5000"

　　自我复制：

　　"C:WINDOWSsystem32RacMondY.exe" ->文件属性设置为：系统、隐藏。

　　调用运行复制后的病毒体时使用的方式：

　　--------------------------------------------------

　　LoadLibraryA

　　FileName = "kernel32.dll"

　　GetProcAddress

　　hModule = 7C800000 (kernel32)

　　ProcNameOrOrdinal = "CreateProcessInternalA"

　　CreateProcessInternalA

　　"C:WINDOWSsystem32RacMondY.exe"

　　--------------------------------------------------

　　自我删除：

　　CreateProcessA

　　CommandLine = "C:WINDOWSsystem32cmd.exe /c del C:DOCUME~1ADMINI~1桌面1.exe > nul"

　　关闭退出：

　　DS:[004040CC]=77C09E9A (msvcrt._exit)

　　------------------------------------------------------------------------

　　对病毒“RacMondY.exe”的执行部分进行分析：

　　------------------------------------------------------------------------