該病毒運行後,在%\System32\%下釋放病毒副本。添加一項名為Miconniecions的隱藏服務,以達到開機啟動病毒副本並隱藏病毒進程的目的。打開本地連線埠,等待客戶端連線。該病毒會暴露用戶大量信息,包括截圖、上傳、下載檔案、共享信息、當前用戶名、計算機解析度、系統時間等等。
基本介紹
- 中文名:Backdoor.Win32.Hupigon.ayc
- 公開範圍:完全公開
- 危害等級:較重
- 病毒類型:後門類
基本信息,行為分析,清除方案,
基本信息
病毒名稱: Backdoor.Win32.Hupigon.ayc
中文名稱: 灰鴿子變種
檔案 MD5: CAF7CD35DF982D361CBAF48052D4E49B
檔案長度: 336,896 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: ASPack 2.12 -> Alexey Solodovnik
NsPack 1.4 -> Liuxingping *
NsPack 1.4 -> Liuxingping *
UPolyX v0.5 *
命名對照: 驅逐艦[BackDoor.Pigeon.36]
行為分析
1、釋放下列副本與檔案
%System32%\System.exe病毒副本
2、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\Miconniecions\Description
鍵值: 字元串: "提供系統、設備、應用程式和服務的管理信息。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\Miconniecions\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 31 (0x1f) 位元組
%System32%\System.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Miconniecions\ObjectName
鍵值: 字元串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_MICONNIECIONS\0000\Service
鍵值: 字元串: "Miconniecions"
3、隨機打開本地1025以上連線埠等待客戶端連線。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
System.exe
(2) 刪除病毒檔案
%System32%\System.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\Miconniecions\Description
鍵值: 字元串: "提供系統、設備、應用程式和服務的管理信息。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\Miconniecions\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 31 (0x1f) 位元組
%System32%\System.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Miconniecions\ObjectName
鍵值: 字元串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_
MICONNIECIONS\0000\Service
鍵值: 字元串: "Miconniecions"
