这个病毒文件是一个类似灰鸽子那样的黑客木马。它的相关变种近日突然增多，毒霸反病毒工程师认为这是病毒制作集团使用病毒生成器疯狂生产的结果。此木马和它的变种们的主要目的是记录用户系统的一些关键数据，并把他们发送到病毒作者指定的地址。如果黑客掌握了这些数据，将可能对用户系统的安全构成威胁。

　　病毒将自己的文件释放到系统盘中，有%WINDOWS%\uninstall\rundl132.exe和Logo1_.exe，系统盘根目录下的sample.exe.exe，以及%WINDOWS%\TEMP\目录中的$$a0199.tmp和$$a0199.bat。然后就在系统中建立配置文件，实现自启动。

　　如果实现了运行，它就悄悄连接病毒作者指定的地址，上传用户电脑的一些系统信息。并下载更新文件，达到自动更新之目的。另外，毒霸反病毒工程师们发现，该毒可以根据病毒作者的指令，变成下载器，下载更多的木马到用户电脑中运行。运行完毕，就删除自己的原始文件和释放出的文件，让用户即便明白中毒也难以查找元凶。

　　毒霸反病毒工程师预计，这类多功能型的黑客木马仍将是最近一段时间内的木马群主要类型，请没有安装毒霸的用户注意防范。如果已安装毒霸，则不必担心。

Win32.Hack.Huigezi2007.47200
病毒名称(中文):多功能鸽子47200病毒别名:威胁级别:★★☆☆☆病毒类型:木马程序病毒长度:43096影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个类似于灰鸽子的黑客程序。它会在用户系统中释放出多个文件，记录并发送用户系统信息到病毒作者指定的远程服务器，然后下载更新文件。

在磁盘中释放出以下文件:
C:\WINDOWS\uninstall\
C:\WINDOWS\uninstall\rundl132.exe
C:\sample.exe.exe
C:\WINDOWS\Logo1_.exe
C:\WINDOWS\TEMP\$$a0199.tmp
C:\WINDOWS\TEMP\$$a0199.bat

在磁盘中删除了以下文件:
c:\sample.exe.exe
C:\WINDOWS\TEMP\$$a0199.bat
“c:\sample.exe”
“C:\WINDOWS\TEMP\$$a0199.bat”

病毒会连接作者指定的网址:
病毒会从 http://www.i***mt.net/dk.txt 下载文件至本地计算机 C:\DNT_Temp\list.dnt
域名:”www.i***mt.net” 端口:80 (TCP)
www.i***mt.net/dk.txt

在磁盘中创建以下配置文件:
C:\WINDOWS\Win.ini [windows] “run” “C:\WINDOWS\SYSTEM32\HgzServer.exe”
C:\WINDOWS\Win.ini [] “” “”

在系统中创建了以下进程:
病毒会枚举系统进程，可能会对一些安全进程进行关闭操作
“net.EXE”
“CMD.EXE”
“Logo1_.exe”

$$a0199.bat $$a0199.tmp Logo1_.exe rundl132.exe sample.exe.