該病毒是灰鴿子變種,屬後門類。病毒運行後,釋放病毒檔案%WINDIR%\wincup.exe,屬性為隱藏且唯讀,修改註冊表,新建服務,利用服務自啟動,以達到隨機啟動的目的。在任務管理器中病毒進程名為IEXPLORE.EXE,且用戶名為SYSTEM,用以迷惑用戶。該病毒可遠程控制用戶機器,進行複製、刪除、上傳等操作,從而盜取用戶的敏感信息。
基本介紹
- 中文名:Backdoor.Win32.Hupigon.byy
- 公開範圍:完全公開
- 檔案長度:281,413位元組
- 開發工具:Borland Delphi 6.0 - 7.0
病毒標籤,病毒危害,命名對照,行為分析,清除方案,
病毒標籤
病毒名稱: Backdoor.Win32.Hupigon.byy
病毒類型:後門
檔案 MD5: 3E20446030FA669CAB975AE48240DBB3
加殼類型: 未知殼
病毒危害
危害等級: 中
感染系統: windows98以上版本
命名對照
Symentec[Backdoor.Graybird.s]
Mcafee[New Malware.u]
行為分析
1、病毒運行後,釋放病毒檔案:
%WINDIR%\wincup.exe
2、修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "Class "="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "ClassGUID "="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "ConfigFlags "=" 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\
鍵值: 字串: "*NewlyCreated*"="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\Control\
鍵值: 字串: "ActiveService "="WIN服務"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "DeviceDesc "="WIN服務"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "Legacy "=-"0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "Service "="WIN服務"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_WIN*670D*52A1\
鍵值: 字串: "NextInstance "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\kmixer\Enum\
鍵值: 字串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}
\ {9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
鍵值: 字串: "DisplayName "="WIN服務"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\Enum
鍵值: 字串: "0"="Root\LEGACY_WIN*670D*52A1\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\Enum\
鍵值: 字串: "Count "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\Enum\
鍵值: 字串: "NextInstance "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
鍵值: 字串: "ErrorControl "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
鍵值: 字串: "ImagePath "="C:\WINDOWS\wincup.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
鍵值: 字串: "Start"="2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
鍵值: 字串: " Type "="272"
3、新建服務,利用服務自啟動,以達到隨機啟動的目的:
服務名:"WIN服務"
描述:"WIN能讓你的電腦正常運行這很重要"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIN服務\
鍵值: 字串: "ImagePath "="C:\WINDOWS\wincup.exe. "
利用服務隨機啟動。
4、該病毒在任務管理器中病毒進程名為IEXPLORE.EXE,且用戶名為SYSTEM,用以迷惑用戶。
5、該病毒可遠程控制用戶機器,進行複製、刪除、上傳等操作,從而盜取用戶的敏感信息。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%WINDIR%\wincup.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "Class "="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "ClassGUID "="{8ECC055D-047F-11D1-A537
-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "ConfigFlags "=" 0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\Control\
鍵值: 字串: "*NewlyCreated*"="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\Control\
鍵值: 字串: "ActiveService "="WIN服務"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "DeviceDesc "="WIN服務"\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "Legacy "=-"0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\0000\
鍵值: 字串: "Service "="WIN服務"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_WIN*670D*52A1\
鍵值: 字串: "NextInstance "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\kmixer\Enum\
鍵值: 字串: "0"="SW\{b7eafdc0-a680-11d0-96d8-
00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\
鍵值: 字串: "DisplayName "="WIN服務"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\Enum
鍵值: 字串: "0"="Root\LEGACY_WIN*670D*52A1\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\Enum\
鍵值: 字串: "Count "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\Enum\
鍵值: 字串: "NextInstance "="1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\
鍵值: 字串: "ErrorControl "="0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\
鍵值: 字串: "ImagePath "="C:\WINDOWS\wincup.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\
鍵值: 字串: "Start"="2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WIN服務\
鍵值: 字串: " Type "="272"
