简介

病毒描述

清除方案

简介

病毒名称： Backdoor.Win32.Hupigon.cda

中文名称： 灰鸽子变种

病毒类型： 后门

文件 MD5： F99940FC6136BE7C9AD18AA85988F3B8

公开范围： 完全公开

危害等级： 4

文件长度： 379,904 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： 未知壳

命名对照： 驱逐舰 [无]

BitDefender [ 无 ]

病毒描述

该病毒为灰鸽子变种，由于用到了加壳技术，至今仍有许多反病毒软件无法查杀。该病毒图标

为瑞星防火墙图标，用以迷惑用户点击。病毒运行后复制自身到 windows 目录下，并重命名为 maconfig.exe ，删除自身。修改注册表，新建服务，并以服务的方式达到随机启动的目的。病毒

运行后可远程控制用户机器。

行为分析：

1 、 该病毒图标为瑞星防火墙图标，用以迷惑用户点击。

2 、 病毒运行后复制自身到 windows 目录下，并重命名为 maconfig.exe ，删除自身：

%windir%\\ maconfig.exe

3 、 修改注册表：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\maconfig\\ImagePath

值 : 类型 : REG_EXPAND_SZ 长度 : 24 字节

43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E | C:\\WINDOWS\\macon

66 69 67 2E 65 78 65 00 | fig.exe.

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\maconfig\\Start

值 : DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\maconfig\\Type

值 : DWORD: 272 (0x110)

4 、 新建服务，并以服务的方式达到随机启动的目的：

服务名称： maconfig

显示名称： maconfig

描述： maconfig

可执行文件的路径： C:\\WINDOWS\\maconfig.exe

启动类型：自动

5 、 病毒在任务管理器中开启 IEXPLORE.EXE 进程，并利用 IEXPLORE.EXE 隐藏自身进程。

6 、 病毒运行后可远程控制用户机器。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程

IEXPLORE.EXE

(2) 删除病毒文件：

%windir%\\ maconfig.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\maconfig\\ImagePath

值 : 类型 : REG_EXPAND_SZ 长度 : 24 字节

43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E |

C:\\WINDOWS\\macon

66 69 67 2E 65 78 65 00 | fig.exe.

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\maconfig\\Start

值 : DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

\\maconfig\\Type

值 : DWORD: 272 (0x110)

停止服务： maconfig

并将其启动类型改为：已禁止。