Backdoor.Win32.Hupigon.afjm

病毒類型： 後門

檔案 MD5： 5C3BE8210DEEF401E1CF4A8623B068EE

感染系統： Windows98以上版本

加殼類型： nSPack 2.1 - 2.5 -＞ North Star/Liu Xing Ping

該病毒查找%system32%\drivers目錄下是否存在klif.sys檔案，開啟iexplore.exe進程，載入ntdll.dll，動態獲取ZwUnmapViewOfSection函式，利用該函式獲取當前進程的基址，申請記憶體空間，將病毒代碼寫入iexplore.exe進程中，創建病毒服務，以服務方式啟動病毒檔案，病毒運行完畢後刪除自身，自身克隆到系統進程calc.exe來保護病毒進程，系統利用iexplore.exe連線網路進行通信，等待接收病毒作者傳送的控制命令。

1、檔案運行後會釋放以下檔案

%Program Files%\Common Files\Microsoft Shared\MSINFO\r47.exe

%system32%\_r47.exe

2、查找%system32%\drivers目錄下是否存在klif.sys檔案，開啟iexplore.exe進程，載入ntdll.dll，動態獲取ZwUnmapViewOfSection函式，利用該函式獲取當前進程的基址，申請記憶體空間，寫入1048576位元組的病毒數據到iexplore.exe進程中，病毒運行完畢後刪除自身，自身克隆到系統進程calc.exe來保護病毒進程，利用iexplore.exe連線網路進行通信。

3、創建病毒服務

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\DisplayName

值: 字元串: "Windows_ree47"

描述：病毒服務名

HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\ Windows_ree47\ImagePath

值: 字元串: "c:\Program Files\Common Files\Microsoft Shared\MSInfo\r47.exe."

描述：服務映像檔案的啟動路徑

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\Start

值: DWORD: 2 (0x2)

描述：病毒啟動方式為手動

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\Type

值: DWORD: 272 (0x110)

描述：病毒服務類型

協定：TCP

連線埠：818`

IP位址：221.225.30.***

連線IP位址等待控制端傳送控制命令

註：%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。

%Windir% 　 　 WINDODWS所在目錄

%DriveLetter%　 　 邏輯驅動器根目錄

%ProgramFiles%　 　 　 系統程式默認安裝目錄

%HomeDrive% 　 當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　\Documents and Settings\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

1、使用安天防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

（1） 使用ATOOL“進程管理”結束iexplore.exe、calc.exe進程。

（2）使用ATOOL工具刪除病毒檔案

%Program Files%\Common Files\Microsoft Shared\MSINFO\r47.exe

%system32%\_r47.exe

（3）刪除病毒添加的註冊表項

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47

刪除Services鍵值下的Windows_ree47主鍵值