Backdoor.Win32.Hupigon.cda分析
病毒标签:
病毒名称: Backdoor.Win32.Hupigon.cda
中文名称: 灰鸽子变种
病毒类型: 后门
文件 MD5: F99940FC6136BE7C9AD18AA85988F3B8
公开范围: 完全公开
危害等级: 4
文件长度: 379,904 字节
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 未知壳
命名对照: 驱逐舰 [无]
BitDefender [ 无 ]
病毒描述:
该病毒为灰鸽子变种,由于用到了加壳技术,至今仍有许多反病毒软件无法查杀。该病毒图标
为瑞星防火墙图标,用以迷惑用户点击。病毒运行后复制自身到 windows 目录下,并重命名为 maconfig.exe ,删除自身。修改注册表,新建服务,并以服务的方式达到随机启动的目的。病毒
运行后可远程控制用户机器。
行为分析:
1 、 该病毒图标为瑞星防火墙图标,用以迷惑用户点击。
2 、 病毒运行后复制自身到 windows 目录下,并重命名为 maconfig.exe ,删除自身:
%windir%\ maconfig.exe
3 、 修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\ImagePath
值 : 类型 : REG_EXPAND_SZ 长度 : 24 字节
43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E | C:\WINDOWS\macon
66 69 67 2E 65 78 65 00 | fig.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\Start
值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\Type
值 : DWORD: 272 (0x110)
4 、 新建服务,并以服务的方式达到随机启动的目的:
服务名称: maconfig
显示名称: maconfig
描述: maconfig
可执行文件的路径: C:\WINDOWS\maconfig.exe
启动类型:自动
5 、 病毒在任务管理器中开启 IEXPLORE.EXE 进程,并利用 IEXPLORE.EXE 隐藏自身进程。
6 、 病毒运行后可远程控制用户机器。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程
IEXPLORE.EXE
(2) 删除病毒文件:
%windir%\ maconfig.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\ImagePath
值 : 类型 : REG_EXPAND_SZ 长度 : 24 字节
43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E |
C:\WINDOWS\macon
66 69 67 2E 65 78 65 00 | fig.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\Start
值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\Type
值 : DWORD: 272 (0x110)
停止服务: maconfig
并将其启动类型改为:已禁止。
安天木马防线下载:http://www.antiy.com/product/ghostbusters/download.htm
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024