基本介紹
基本信息,行為分析,清除方案,
基本信息
病毒名稱: Backdoor.Win32.Hupigon.bnn
病毒類型: 後門
檔案 MD5: E09020BAD97AE4DA85226713A28FEB74
公開範圍: 完全公開
危害等級: 中
檔案長度: 665,600 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 無
命名對照: Symentec[Backdoor.Graybird]
Mcafee[無]
行為分析
1、茅斷戀試病毒運行後,刪除自身,釋放病毒檔案:
病毒路徑:
%WINDIR%\g_server1.23.exe 原病毒檔案
%WINDIR%\Delete.bat 批處理檔案
2、修改註冊腳捆戒表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:阿朵"病毒名"="病毒所在路徑\病毒名白宙戰霉"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_SYSTEM_EVENT_COM+\0000\Control\
鍵值: 字串: "ActiveService "="System Event COM+"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
鍵值: 字串: " System Event COM+"="提供終結點映射程式以及其它 RPC 服務。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Event COM+
鍵值: 字串: "Enum "="Root\LEGACY_SYSTEM_EVENT_COM+\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Event COM+\
鍵值: 字串: "ImagePath "="C:\WINDOWS\G_Server1.23.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Event COM+\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
3、開啟服務System Event COM+
作用:提供終結點映射程式(endpoint mapper) 以及其獄樂戶它 RPC 服務。
4、連線網路,開啟連線埠:
協定:TCP
IP:209.162.178.14
隨機開啟本地1024以上連線埠,如:1094
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹定市酷底清除此病毒(推薦)。
2、和背良手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%WINDIR%\g_server1.23.exe
%WINDIR%\Delete.bat
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:"病毒名"="病毒所在路徑\病毒名"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_SYSTEM_EVENT_COM+\0000\Control\
鍵值: 字串: "ActiveService "="System Event COM+"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
鍵值: 字串: " System Event COM+"="提供終結點映射程式以及其它 RPC 服務。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+
鍵值: 字串: "Enum "="Root\LEGACY_SYSTEM_EVENT_COM+\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
鍵值: 字串: "ImagePath "="C:\WINDOWS\G_Server1.23.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Event COM+\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
3、開啟服務System Event COM+
作用:提供終結點映射程式(endpoint mapper) 以及其它 RPC 服務。
4、連線網路,開啟連線埠:
協定:TCP
IP:209.162.178.14
隨機開啟本地1024以上連線埠,如:1094
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%WINDIR%\g_server1.23.exe
%WINDIR%\Delete.bat
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串:"病毒名"="病毒所在路徑\病毒名"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_SYSTEM_EVENT_COM+\0000\Control\
鍵值: 字串: "ActiveService "="System Event COM+"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
鍵值: 字串: " System Event COM+"="提供終結點映射程式以及其它 RPC 服務。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+
鍵值: 字串: "Enum "="Root\LEGACY_SYSTEM_EVENT_COM+\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
鍵值: 字串: "ImagePath "="C:\WINDOWS\G_Server1.23.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\System Event COM+\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
鍵值: 字串: "LEGACY_SYSTEM_EVENT_COM+"="LegacyDriver"
