“Backdoor.Win32.Hupigon.bvk”的意思、由来-中文百科全书

简介

病毒名称： Backdoor.Win32.Hupigon.bvk

中文名称：上兴远程控制

病毒类型：后门类

文件 MD5： D8CD510E7FA929FC150BC95285897771

公开范围：完全公开

危害等级：高

文件长度： 729,088 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

命名对照：驱逐舰[Backdoor.Pigeon.360]

Ewido[Backdoor.Hupigon.bvk]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下，生成木马服务端。添加注册表服务项，以达到开机加载病毒体的目的。插入某dll文件到IE与conime.exe进程，间歇性连接某IP，等待木马客户端连接。一旦加载成功,实现文件监控传输，屏幕监控，注册表监控，服务监控，进程监控，DOS模拟，键盘记录，摄像头监控、代理服务等功能。

行为分析：

1、衍生下列副本与文件

%program files\\common files%\\microsoft shared\\msinfo\\rejoice.exe病毒文件

2、新建注册表键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Description

键值: 字符串: "上兴远控服务端"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\DisplayName

键值: 字符串: "Windows_rejoice"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\ErrorControl

键值: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\ImagePath

键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节

C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\rejoice.exe

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\ObjectName

键值: 字符串: "LocalSystem"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Security\\

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Security\\Security

键值: 类型: REG_BINARY 长度: 168 (0xa8) 字节

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Start

键值: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Type

键值: DWORD: 272 (0x110)

3、插入ws2_32.dll到IE与conime.exe进程反向连接某IP，等待受控

TCP　本机名:1177***.245.43.***:http　SYN_SENT　湖南省株洲市　电信

4、采用Rootkit技术拦截API，服务端无进程，无端口

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

IEXPLORE.EXE

Conime.exe

(2) 删除病毒衍生文件

%program files\\common files%\\microsoft shared\\msinfo\\rejoice.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\

词条	Backdoor.Win32.Hupigon.bvk
释义	简介病毒描述：行为分析：清除方案：简介病毒名称： Backdoor.Win32.Hupigon.bvk 中文名称：上兴远程控制病毒类型：后门类文件 MD5： D8CD510E7FA929FC150BC95285897771 公开范围：完全公开危害等级：高文件长度： 729,088 字节感染系统： Win9X以上系统开发工具： Borland Delphi 6.0 - 7.0 命名对照：驱逐舰[Backdoor.Pigeon.360] Ewido[Backdoor.Hupigon.bvk] 病毒描述：该病毒运行后，衍生病毒文件到系统目录下，生成木马服务端。添加注册表服务项，以达到开机加载病毒体的目的。插入某dll文件到IE与conime.exe进程，间歇性连接某IP，等待木马客户端连接。一旦加载成功,实现文件监控传输，屏幕监控，注册表监控，服务监控，进程监控，DOS模拟，键盘记录，摄像头监控、代理服务等功能。行为分析： 1、衍生下列副本与文件 %program files\\common files%\\microsoft shared\\msinfo\\rejoice.exe病毒文件 2、新建注册表键值： HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\ HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Description 键值: 字符串: "上兴远控服务端" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\DisplayName 键值: 字符串: "Windows_rejoice" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\ErrorControl 键值: DWORD: 0 (0) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节 C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\rejoice.exe HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\ObjectName 键值: 字符串: "LocalSystem" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Security\\ HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Security\\Security 键值: 类型: REG_BINARY 长度: 168 (0xa8) 字节 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Start 键值: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\Type 键值: DWORD: 272 (0x110) 3、插入ws2_32.dll到IE与conime.exe进程反向连接某IP，等待受控 TCP　本机名:1177*.245.43.:http　SYN_SENT　湖南省株洲市　电信 4、采用Rootkit技术拦截API，服务端无进程，无端口注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案： 1、使用安天木马防线可彻底清除此病毒(推荐)* 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 IEXPLORE.EXE Conime.exe (2) 删除病毒衍生文件 %program files\\common files%\\microsoft shared\\msinfo\\rejoice.exe (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Windows_rejoice\\
随便看	僧行僧性空僧姓僧轩僧眼看台湾：宝岛佛教六十日参学记僧业僧衣僧意僧印僧英僧用六物僧宇僧渊僧院僧院的秘药僧院小松僧斋僧帐僧肇的佛教理解与格义佛教僧肇的佛学理解与格义佛教僧正僧证亮僧职僧只僧制