病毒簡介
病毒名稱: Backdoor.Win32.Hupigon.bnn病毒類型: 後門
檔案 MD5: E09020BAD97AE4DA85226713A28FEB74
公開範圍: 完全公開
危害等級: 中
檔案長度: 665,600 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 無
命名對照: Symentec[Backdoor.Graybird]
Mcafee[無]
病毒描述:
該病毒屬後門類。病毒運行後,刪除自身,釋放 病毒檔案%WINDIR%\g_server1.23.exe,%WINDIR%\Delete.bat,修改註冊表,添加啟動項,以達到隨機啟動的目的。開啟服務System Event COM+,連線網路,開啟連線埠,並利用批處理檔案安裝灰鴿子 遠程管理服務端,從而遠程控制用戶機器。該病毒對用戶有較大危害。
行為分析:
1、病毒運行後,刪除自身,釋放病毒檔案:
病毒路徑:
%WINDIR%\g_server1.23.exe原病毒檔案
%WINDIR%\Delete.bat 批處理檔案
2、修改 註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:"病毒名"="病毒所在路徑\病毒名"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_SYSTEM_EVENT_COM+\0000\Control\
鍵值: 字串: "ActiveService "="System Event COM"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
鍵值: 字串: " System Event COM"="提供終結點映射程式以及其它 RPC 服務。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Event COM+
鍵值: 字串: "Enum "="Root\LEGACY_SYSTEM_EVENT_COM+\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Event COM+\
鍵值: 字串: "ImagePath "="C:\WINDOWS\G_Server1.23.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Event COM+\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM"="LegacyDriver"
3、開啟服務System Event COM+
作用:提供終結點映射程式(endpoint mapper) 以及其它 RPC 服務。
4、連線網路,開啟連線埠:
協定:TCP
IP:209.162.178.14
隨機開啟本地1024以上連線埠,如:1094
5、利用批處理檔案安裝灰鴿子遠程管理服務端,從而遠程控制用戶機器。
註:% System%是一個 可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用 安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%WINDIR%\g_server1.23.exe
%WINDIR%\Delete.bat
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:"病毒名"="病毒所在路徑\病毒名"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_SYSTEM_EVENT_COM+\0000\Control\
鍵值: 字串: "ActiveService "="System Event COM"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
鍵值: 字串: " System Event COM"="提供終結點映射程式以及其它 RPC 服務。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+
鍵值: 字串: "Enum "="Root\LEGACY_SYSTEM_EVENT_COM+\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
鍵值: 字串: "ImagePath "="C:\WINDOWS\G_Server1.23.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM"="LegacyDriver"
