请输入您要查询的百科知识:

 

词条 Backdoor.Win32.Hupigon.bkp
释义

病毒简介

病毒类型:后门类

危害等级:中

文件长度:307,369 字节

文件MD5:CB016820B60CA868A1DC2127461A2773

公开范围:完全公开

感染系统:Win9x以上所有版本

加壳类型:ASPack 2.12 -> Alexey Solodovnikov [Overlay]

开发工具:Borland Delphi 6.0 - 7.0

病毒描述:

该病毒属后门类。病毒运行后在%\\System32\\%释放病毒副本FRundlll.exe,之后修改注册表文件,添加一项名为FRundlll的系统服务,描述为“任我行工作室”。而后尝试连接地址为202.***.36.145的WEB页面。诱骗用户输入域名、用户名、密码等个人信息。打开本地端口,等待连接。该病毒对用户有一定的危害。

行为分析:

1、该病毒运行后在系统目录释放病毒副本

%\\system32\\% FRundlll.exeBackdoor.Win32.Hupigon.bkp

2、新建注册表项:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Policies\\WinOldApp\\

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001

\\Services\\FRundlll\\

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\Description

值: 字符串: "任我行工作室"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\DisplayName

值: 字符串: "Windows Rwxf"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\ErrorControl

值: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\ImagePath

值: 类型: REG_EXPAND_SZ 长度: 40 字节

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\ObjectName

值: 字符串: "LocalSystem"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\Security\\

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\Security\\Security

值: 类型: REG_BINARY 长度: 184 字节

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\Start

值: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\FRundlll\\Type

值: DWORD: 272 (0x110)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\Description

值: 字符串: "任我行工作室"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\DisplayName

值: 字符串: "Windows Rwxf"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\ErrorControl

值: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\ImagePath

值: 类型: REG_EXPAND_SZ 长度: 40 字节

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\ObjectName

值: 字符串: "LocalSystem"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\Security\\

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\Security\\Security}

值: 类型: REG_BINARY 长度: 184 字节

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\Start

值: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\FRundlll\\Type

值: DWORD: 272 (0x110)

值: 字符串: "intenat.exe"

3、病毒会尝试连接下列网址:

202.108.36.145:80

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案 :

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

与病毒名称同名进程.

(2) 删除病毒文件

%\\system32\\%FRundlll.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\FRundlll\\

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 20:05:45