基本介紹
- 中文名:Backdoor.Win32.Hupigon.bqq
- 病毒類型:後門
- 公開範圍:完全公開
- 中文名稱: 灰鴿子
- 檔案 MD5:DADE4EFB1AC36BDD28ABEF13B0A4F5CF
- 危害等級: 3
- 檔案長度:678,400 位元組
- 感染系統:windows98以上版本
- 開發工具: Microsoft Visual C++ 6.0
- 加殼類型: ASPack 2.12
- 命名對照:驅逐艦[無]BitDefender [無]
行為分析,清除方案,
行為分析
1、病毒運行後衍生病毒檔案:
%system32%\system.dll
%WINDOWS%\kb904706.log
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
鍵值: 字串: "wextract_cleanup0"="rundll32.exe C:\WINDOWS\system32\advpack.dll, DelNodeRunDLL32 "C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\IXP000.TMP\""
3、該病毒與遊戲“連珠妙手”捆綁到一起。
4、病毒衍生的檔案system.dll插入系統進程svchost.exe中,並在單獨打開一個svchost.exe進程。
5、該病毒可以遠程控制用戶機器。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%system32%\system.dll
%WINDOWS%\kb904706.log
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
鍵值: 字串: "wextract_cleanup0"="rundll32.exe C:\WINDOWS\system32\advpack.dll, DelNodeRunDLL32 "C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\IXP000.TMP\""
