Backdoor.Win32.Hupigon.cda

Backdoor.Win32.Hupigon.cda,病毒。由於用到了加殼技術,至今仍有許多反病毒軟體無法查殺。

病毒簡介

病毒名稱: Backdoor.Win32.Hupigon.cda
中文名稱: 灰鴿子變種
病毒類型: 後門
檔案 MD5: F99940FC6136BE7C9AD18AA85988F3B8
公開範圍: 完全公開
危害等級: 4
檔案長度: 379,904 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 未知殼
命名對照: 驅逐艦 [無]
  BitDefender [ 無 ]

病毒描述

該病毒為灰鴿子變種,由於用到了加殼技術,至今仍有許多反病毒軟體無法查殺。該病毒圖示
瑞星防火牆圖示,用以迷惑用戶點擊。病毒運行後複製自身到 windows 目錄下,並重命名為 maconfig.exe ,刪除自身。修改註冊表,新建服務,並以服務的方式達到隨機啟動的目的。病毒
運行後可遠程控制用戶機器。

行為分析

1 、 該病毒圖示為瑞星防火牆圖示,用以迷惑用戶點擊。
2 、 病毒運行後複製自身到 windows 目錄下,並重命名為 maconfig.exe ,刪除自身:
%windir%\ maconfig.exe
3 、 修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\ImagePath
值 : 類型 : REG_EXPAND_SZ 長度 : 24 位元組
43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E | C:\WINDOWS\macon
66 69 67 2E 65 78 65 00 | fig.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\Start
值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\Type
值 : DWORD: 272 (0x110)
4 、 新建服務,並以服務的方式達到隨機啟動的目的:
服務名稱: maconfig
顯示名稱: maconfig
描述: maconfig
執行檔的路徑: C:\WINDOWS\maconfig.exe
啟動類型:自動
5 、 病毒在任務管理器中開啟 IEXPLORE.EXE 進程,並利用 IEXPLORE.EXE 隱藏自身進程。
6 、 病毒運行後可遠程控制用戶機器。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

清除方案

1、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
   (1) 使用 安天木馬防線 “進程管理”關閉病毒進程
 IEXPLORE.EXE
(2) 刪除病毒檔案:
 %windir%\ maconfig.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  \maconfig\ImagePath
 值 : 類型 : REG_EXPAND_SZ 長度 : 24 位元組
 43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E |
 C:\WINDOWS\macon
 66 69 67 2E 65 78 65 00 | fig.exe.
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  \maconfig\Start
 值 : DWORD: 2 (0x2)
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  \maconfig\Type
 值 : DWORD: 272 (0x110)
 停止服務: maconfig
 並將其啟動類型改為:已禁止。

相關詞條

相關搜尋

熱門詞條

聯絡我們