Backdoor.Win32.Hupigon.emv病毒屬後門類,病毒圖示白色背景圖示,用以迷惑用戶點擊運行,病毒運行後複製自身到 %windir% 下,檔案名稱為 dllhost.exe ,並在 %windir% 資料夾下衍生病毒檔案setuprs1.PIF ,在各個盤根目錄下衍生病毒檔案 autorun.inf.tmp 和 runauto.. ;修改註冊表,創建服務,以達到隨機啟動的目的;對一些命令映像劫持。
基本介紹
- 外文名:Backdoor.Win32.Hupigon.emv
- 危害等級:3
- 公開範圍:完全公開
- 病毒類型:後門檔案
基本信息,特點,行為分析,清除方案,
基本信息
病毒名稱:Backdoor.Win32.Hupigon.emv
病毒類型:後門檔案
MD5:1D8B98F417340D9B399A5F9F9944B2E3
公開範圍:完全公開
危害等級:3
檔案長度:762,368 位元組
感染系統:windows98以上版本
開發工具:Borland Delphi 6.0 - 7.0
加殼類型:無
特點
1、檔案釋放
(1)在WINDOWS目錄下釋放病毒檔案:
dllhost.exe
setupss1.pif
(2)在硬碟各分區根目錄下創建autorun.inf和隱藏資料夾runauto..
runauto..資料夾中包含病毒檔案autorun.pif
autorun.inf檔案內容:
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打開(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=瀏覽(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
(runauto..資料夾及其中的病毒檔案autorun.pif需用IceSword才能刪除)。
2、通過IFEO劫持將系統程式cmd.exe、msconfig.exe、regedit.exe、regedt32.exe導向病毒檔案setuprs1.exe和xxxx.pif(X為隨機數字)。
3、病毒會關閉autorans.exe視窗。但因其動作較慢,中招後,用戶還是可以運行autorans.exe,發現這隻鴿子的IFEO劫持項。dllhost.exe會反覆寫入這幾個註冊表項
4、IceSword進程列表中可見病毒進程%windows%\dllhost.exe(非隱藏)。但“禁止進程創建”前,此病毒進程無法結束。
5、這個病毒感染隨身碟,且可通過隨身碟傳播。隨身碟根目錄下的病毒檔案內容與硬碟各分區根目錄下的病毒檔案內容相同。
行為分析
病毒運行後複製自身到 %windir% 下,檔案名稱為 dllhost.exe ,並在 %windir% 資料夾下衍生病毒檔案setuprs1.PIF ,在各個盤根目錄下衍生病毒檔案 autorun.inf.tmp 和 runauto.. ; 修改註冊表,創建服務,以達到隨機啟動的目的;對一些命令映像劫持。
1 、病毒運行後複製自身到 %windir% 下和各盤的根目錄下:
%windir%\dllhost.exe
%windir%\ setuprs1.PIF
各個盤跟目錄 \autorun.inf.tmp
各個盤跟目錄 \ runauto..
2 、修改註冊表,創建服務,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "Class"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "ClassGUID"="{ 8ECC055D-047F-11D1-A537-0000F8753ED1 }"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
LEGACY_COMSYSTEMAPP\0000\Control
鍵值 : 字串 : "ActiveService"="COMSystemApp"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "DeviceDesc"="COM+ System Applications"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "Service"="COMSystemApp"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp
鍵值 : 字串 : "Description"=" 管理基於組件對象模型 (COM+) 的組件的配置和跟蹤。
如果停止該服務,則大多數基於 COM+ 的組件將不能正常工作。如果禁用該服務,則任
何明確依賴它的服務都將無法啟動 "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp
鍵值 : 字串 : "DisplayName"="COM+ System Applications"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp\Enum
鍵值 : 字串 : "0"="Root\LEGACY_COMSYSTEMAPP\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp
鍵值 : 字串 : "ImagePath"="C:\WINNT\dllhost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp
鍵值 : 字串 : "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp\Start
鍵值 : DWORD: 2 (0x2)
3 、修改註冊表,添加映像劫持項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\cmd.exe
鍵值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\msconfig.exe
鍵值 : 字串 : "Debugger"="4465.PIF"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedit.exe
鍵值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedt32.exe
鍵值 : 字串 : "Debugger"="setuprs1.PIF"
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “服務管理”關閉病毒服務,並關閉 dllhost 進程。
(2) 刪除病毒檔案:
%windir%\dllhost.exe
%windir%\ setuprs1.PIF
各個盤跟目錄 \autorun.inf.tmp
各個盤跟目錄 \ runauto..
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "Class"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "ClassGUID"=
"{ 8ECC055D-047F-11D1-A537-0000F8753ED1 }"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMSYSTEMAPP\0000\Control
鍵值 : 字串 : "ActiveService"="COMSystemApp"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "DeviceDesc"="COM+ System Applications"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ Root\LEGACY_COMSYSTEMAPP\0000
鍵值 : 字串 : "Service"="COMSystemApp"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\COMSystemApp
鍵值 : 字串 : "Description"=" 管理基於組件對象模型
(COM+) 的組件的配置和跟蹤。如果停止該服務,則大多數
基於 COM+ 的組件將不能正常工作。如果禁用該服務,則
任何明確依賴它的服務都將無法啟動 "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\COMSystemApp
鍵值 : 字串 : "DisplayName"="COM+ System Applications"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\COMSystemApp\Enum
鍵值 : 字串 : "0"="Root\LEGACY_COMSYSTEMAPP\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp
鍵值 : 字串 : "ImagePath"="C:\WINNT\dllhost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp
鍵值 : 字串 : "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSystemApp\Start
鍵值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
鍵值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
鍵值 : 字串 : "Debugger"="4465.PIF"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
鍵值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
鍵值 : 字串 : "Debugger"="setuprs1.PIF"