Backdoor.Win32.Hupigon.gs

該病毒屬後門類,是灰鴿子的變種。該病毒運行後衍生病毒檔案%WINDIR%\system.ini.exe,修改註冊表,啟動W32Time服務。該病毒在用戶機器上開啟後門,病毒作者可以隨時進入用戶機器,盜取用戶的敏感信息和拷貝、刪除等操作。

病毒簡介

病毒類型: 後門
檔案 MD5: 3525931484CC6EA6F62D4EADB92F99AB
公開範圍: 完全公開
危害等級: 中
檔案長度: 284,686 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 5.0 – 6.0
加殼類型: 未知殼
命名對照: Symentec[]
Mcafee[]

行為分析


1、病毒運行後衍生病毒檔案:
%WINDIR%\system.ini.exe
2、修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OLG\
鍵值: 字串: "@"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OLG
鍵值: 字串: "0000"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OLG\0000
鍵值: 字串: " Class "="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OLG\0000\
鍵值: 字串: "ClassGUID "=""
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OLG\0000\Control
鍵值: 字串: "ActiveService "="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OLG\0000
鍵值: 字串: "DeviceDesc "="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OLG\0000
鍵值: 字串: "Service "="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg
鍵值: 字串: "DisplayName"="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg\Enum
鍵值: 字串: "0"="Root\LEGACY_OLG\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg
鍵值: 字串: "ImagePath "="C:\WINDOWS\system.ini.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg
鍵值: 字串: "ObjectName "="LocalSystem"
3、啟動W32Time服務:
啟動W32Time服務:維護在網路上的所有客戶端和伺服器的時間和日期同步。如果此服務被停止,時間和日期的同步將不可用。如果此服務被禁用,任何明確依賴它的服務都將不能啟動。
註:%WINDIR%是一個可變路徑。病毒通過查詢作業系統來決定當前windir資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me/XP中默認的安裝路徑是C:\Windows。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%WINDIR%\system.ini.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_OLG\
鍵值: 字串: "@"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_OLG
鍵值: 字串: "0000"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_OLG\0000
鍵值: 字串: " Class "="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_OLG\0000\
鍵值: 字串: "ClassGUID "="{8ECC055D-047F-11D1
-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_OLG\0000\Control
鍵值: 字串: "ActiveService "="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_OLG\0000
鍵值: 字串: "DeviceDesc "="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_OLG\0000
鍵值: 字串: "Service "="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg
鍵值: 字串: "DisplayName"="olg"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg\Enum
鍵值: 字串: "0"="Root\LEGACY_OLG\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg
鍵值: 字串: "ImagePath "="C:\WINDOWS\system.ini.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\olg
鍵值: 字串: "ObjectName "="LocalSystem"

專家建議

1.注意系統安裝的防毒軟體是否運行正常。
2.在任務管理器中查看是否有陌生的比較可疑的進程存在。
3.儘快安裝防毒軟體並開啟實時監控功能。
手動查殺方法:
1.在任務管理器中看一下是否有iexplore.exe(在沒有開啟IE瀏覽器的情況下查看),有則將其結束。
2.將C:\Documents and Settings\(登入系統的用戶名)\Local Settings\Temp資料夾清空。
3.在註冊表中刪除 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smss項和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0項 。

相關詞條

相關搜尋

熱門詞條

聯絡我們