词条 | Backdoor.Win32.Hupigon.bkp |
释义 | 病毒简介病毒类型:后门类 危害等级:中 文件长度:307,369 字节 文件MD5:CB016820B60CA868A1DC2127461A2773 公开范围:完全公开 感染系统:Win9x以上所有版本 加壳类型:ASPack 2.12 -> Alexey Solodovnikov [Overlay] 开发工具:Borland Delphi 6.0 - 7.0 病毒描述:该病毒属后门类。病毒运行后在%\\System32\\%释放病毒副本FRundlll.exe,之后修改注册表文件,添加一项名为FRundlll的系统服务,描述为“任我行工作室”。而后尝试连接地址为202.***.36.145的WEB页面。诱骗用户输入域名、用户名、密码等个人信息。打开本地端口,等待连接。该病毒对用户有一定的危害。 行为分析:1、该病毒运行后在系统目录释放病毒副本 %\\system32\\% FRundlll.exeBackdoor.Win32.Hupigon.bkp 2、新建注册表项: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Policies\\WinOldApp\\ HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Services\\FRundlll\\ HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\Description 值: 字符串: "任我行工作室" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\DisplayName 值: 字符串: "Windows Rwxf" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\ErrorControl 值: DWORD: 0 (0) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\ImagePath 值: 类型: REG_EXPAND_SZ 长度: 40 字节 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\ObjectName 值: 字符串: "LocalSystem" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\Security\\ HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\Security\\Security 值: 类型: REG_BINARY 长度: 184 字节 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\Start 值: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services \\FRundlll\\Type 值: DWORD: 272 (0x110) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\Description 值: 字符串: "任我行工作室" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\DisplayName 值: 字符串: "Windows Rwxf" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\ErrorControl 值: DWORD: 0 (0) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\ImagePath 值: 类型: REG_EXPAND_SZ 长度: 40 字节 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\ObjectName 值: 字符串: "LocalSystem" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\Security\\ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\Security\\Security} 值: 类型: REG_BINARY 长度: 184 字节 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\Start 值: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\FRundlll\\Type 值: DWORD: 272 (0x110) 值: 字符串: "intenat.exe" 3、病毒会尝试连接下列网址:202.108.36.145:80 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案 :1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 与病毒名称同名进程. (2) 删除病毒文件 %\\system32\\%FRundlll.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\FRundlll\\ |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。