病毒簡介
病毒類型:後門類危害等級:中
檔案長度:307,369 位元組
檔案MD5:CB016820B60CA868A1DC2127461A2773
公開範圍:完全公開
感染系統:Win9x以上所有版本
加殼類型:AsPack 2.12 -> Alexey Solodovnikov [Overlay]
開發工具:Borland Delphi 6.0 - 7.0
病毒描述:
該病毒屬後門類。病毒運行後在%\System32\%釋放病毒副本FRundlll.exe,之後修改註冊表檔案,添加一項名為FRundlll的系統服務,描述為“任我行工作室”。而後嘗試連線地址為202.***.36.145的WEB頁面。誘騙用戶輸入域名、用戶名、密碼等個人信息。打開本地連線埠,等待連線。該病毒對用戶有一定的危害。行為分析:
1、該病毒運行後在系統目錄釋放病毒副本%\system32\% FRundlll.exeBackdoor.Win32.Hupigon.bkp
2、新建註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\WinOldApp\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\FRundlll\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\Description
值: 字元串: "任我行工作室"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\DisplayName
值: 字元串: "Windows Rwxf"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\ErrorControl
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\ImagePath
值: 類型: REG_EXPAND_SZ 長度: 40 位元組
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\ObjectName
值: 字元串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\Security\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\Security\Security
值: 類型: REG_BINARY 長度: 184 位元組
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\FRundlll\Type
值: DWORD: 272 (0x110)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\Description
值: 字元串: "任我行工作室"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\DisplayName
值: 字元串: "Windows Rwxf"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\ErrorControl
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\ImagePath
值: 類型: REG_EXPAND_SZ 長度: 40 位元組
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\ObjectName
值: 字元串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\Security\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\Security\Security}
值: 類型: REG_BINARY 長度: 184 位元組
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\FRundlll\Type
值: DWORD: 272 (0x110)
值: 字元串: "intenat.exe"
3、病毒會嘗試連線下列網址:
202.108.36.145:80註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案 :
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
與病毒名稱同名進程.
(2) 刪除病毒檔案
%\system32\%FRundlll.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\FRundlll\
