基本介紹
- 中文名:Backdoor.Win32.Hupigon.bpv
- 危害等級: 4
- 檔案長度:337,228 位元組
- 感染系統: windows98以上版本
病毒信息,病毒描述,清除方案,
病毒信息
病毒名稱: Backdoor.Win32.Hupigon.bpv
中文名稱: 灰鴿子
病毒類型: 後門
檔案您凝詢 MD5: 58F8D09F6039B5FB9CF1CD55DD37CF5F
公開範圍: 完全公開
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
命名對照: 驅逐艦[Backdoor.Pigeon.325]
日月光華 [LegMir.gen]
病毒描述
行為分析:
1、病毒運行後複製自身到%system32%下:
%system32%\huaxia.exe
2、修改註冊表,新建服務,並以服務的方式添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " Description "="T.B.A遠程控制"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " DisplayName "="huaxia_Server"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " ImagePath "="C:\WINDOWS\system32\huaxia.exe - NetSata"
新建服務:
服務名稱:huaxia_2003
顯示名稱:huaxia_Server
描述:T.B.A遠程控制
執行檔的路徑:C:\WINDOWS\system32\huaxia.exe –NetSata
啟動類型:自動
3、該病毒程式huaxia.exe做為子進程注入Internet Explorer進程到中:
命令行:C:\Program Files\Internet Explorer\gengxin.exe
4、嘗試終止己茅嫌翻以下反病毒軟體的進程:
PasswordGuard.exe
PasswordGuard.exe
KVXP.KXP
KVMonXP.KXPSymantec AntiVirus 企業版
Symantec AntiVirus 企業版
RavMon.exe
RavMonClassTfLockDownMain
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天網防火牆個人版
Tapplication
天網防火牆企業版
Tapplication
TForm1
噬菌體
EGHOST.EXE
KAVPFW.EXE
5、該病毒可以遠程控制用戶計算機,從而進行上傳、下載、刪除檔案等操作。
註:% System%是店企拘一個可變路徑。病毒盛套艱通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為簽迎項分析刪除對應檔案,恢復相關係疊禁統設定。
(1) 使用安天木馬防線“進程管理”關閉酷應訂多病毒進程
(2) 刪除病毒檔案
%system32%\huaxia.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " Description "="T.B.A遠程控制"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " DisplayName "="huaxia_Server"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " ImagePath "="C:\WINDOWS\system32\huaxia.exe - NetSata"
終止服務huaxia_Server
把啟動類型改為:已禁止
RavMon.exe
RavMonClassTfLockDownMain
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天網防火牆個人版
Tapplication
天網防火牆企業版
Tapplication
TForm1
噬菌體
EGHOST.EXE
KAVPFW.EXE
5、該病毒可以遠程控制用戶計算機,從而進行上傳、下載、刪除檔案等操作。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\huaxia.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " Description "="T.B.A遠程控制"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " DisplayName "="huaxia_Server"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huaxia_2003\
鍵值: 字串: " ImagePath "="C:\WINDOWS\system32\huaxia.exe - NetSata"
終止服務huaxia_Server
把啟動類型改為:已禁止
