| 词条 | Backdoor.Win32.Hupigon.emv |
| 释义 | Backdoor.Win32.Hupigon.emv病毒属后门类,病毒图标白色背景图标,用以迷惑用户点击运行,病毒运行后复制自身到 %windir% 下,文件名为 dllhost.exe ,并在 %windir% 文件夹下衍生病毒文件setuprs1.PIF ,在各个盘根目录下衍生病毒文件 autorun.inf.tmp 和 runauto.. ;修改注册表,创建服务,以达到随机启动的目的;对一些命令映像劫持。 基本信息病毒名称:Backdoor.Win32.Hupigon.emv 病毒类型:后门文件 MD5:1D8B98F417340D9B399A5F9F9944B2E3 公开范围:完全公开 危害等级:3 文件长度:762,368 字节 感染系统:windows98以上版本 开发工具:Borland Delphi 6.0 - 7.0 加壳类型:无 特点1、文件释放 (1)在WINDOWS目录下释放病毒文件: dllhost.exe setupss1.pif (2)在硬盘各分区根目录下创建autorun.inf和隐藏文件夹runauto.. runauto..文件夹中包含病毒文件autorun.pif autorun.inf文件内容: [AutoRun] open=RUNAUT~1\\autorun.pif shell\\1=打开(&O) shell\\1\\Command=RUNAUT~1\\autorun.pif shell\\2\\=浏览(&B) shell\\2\\Command=RUNAUT~1\\autorun.pif shellexecute=RUNAUT~1\\autorun.pif (runauto..文件夹及其中的病毒文件autorun.pif需用IceSword才能删除)。 2、通过IFEO劫持将系统程序cmd.exe、msconfig.exe、regedit.exe、regedt32.exe导向病毒文件setuprs1.exe和xxxx.pif(X为随机数字)。 3、病毒会关闭autorans.exe窗口。但因其动作较慢,中招后,用户还是可以运行autorans.exe,发现这只鸽子的IFEO劫持项。dllhost.exe会反复写入这几个注册表项 4、IceSword进程列表中可见病毒进程%windows%\\dllhost.exe(非隐藏)。但“禁止进程创建”前,此病毒进程无法结束。 5、这个病毒感染U盘,且可通过U盘传播。U盘根目录下的病毒文件内容与硬盘各分区根目录下的病毒文件内容相同。 行为分析病毒运行后复制自身到 %windir% 下,文件名为 dllhost.exe ,并在 %windir% 文件夹下衍生病毒文件setuprs1.PIF ,在各个盘根目录下衍生病毒文件 autorun.inf.tmp 和 runauto.. ; 修改注册表,创建服务,以达到随机启动的目的;对一些命令映像劫持。 1 、病毒运行后复制自身到 %windir% 下和各盘的根目录下: %windir%\\dllhost.exe %windir%\\ setuprs1.PIF 各个盘跟目录 \\autorun.inf.tmp 各个盘跟目录 \\ runauto.. 2 、修改注册表,创建服务,以达到随机启动的目的: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "Class"="LegacyDriver" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "ClassGUID"="{ 8ECC055D-047F-11D1-A537-0000F8753ED1 }" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\ LEGACY_COMSYSTEMAPP\\0000\\Control 键值 : 字串 : "ActiveService"="COMSystemApp" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "DeviceDesc"="COM+ System Applications" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "Service"="COMSystemApp" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp 键值 : 字串 : "Description"=" 管理基于组件对象模型 (COM+) 的组件的配置和跟踪。 如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任 何明确依赖它的服务都将无法启动 " HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp 键值 : 字串 : "DisplayName"="COM+ System Applications" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp\\Enum 键值 : 字串 : "0"="Root\\LEGACY_COMSYSTEMAPP\\0000" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp 键值 : 字串 : "ImagePath"="C:\\WINNT\\dllhost.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp 键值 : 字串 : "ObjectName"="LocalSystem" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp\\Start 键值 : DWORD: 2 (0x2) 3 、修改注册表,添加映像劫持项目: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\cmd.exe 键值 : 字串 : "Debugger"="setuprs1.PIF" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\msconfig.exe 键值 : 字串 : "Debugger"="4465.PIF" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\regedit.exe 键值 : 字串 : "Debugger"="setuprs1.PIF" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\regedt32.exe 键值 : 字串 : "Debugger"="setuprs1.PIF" 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用 安天木马防线 “服务管理”关闭病毒服务,并关闭 dllhost 进程。 (2) 删除病毒文件: %windir%\\dllhost.exe %windir%\\ setuprs1.PIF 各个盘跟目录 \\autorun.inf.tmp 各个盘跟目录 \\ runauto.. (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\ Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "Class"="LegacyDriver" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\ Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "ClassGUID"= "{ 8ECC055D-047F-11D1-A537-0000F8753ED1 }"HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\LEGACY_COMSYSTEMAPP\\0000\\Control 键值 : 字串 : "ActiveService"="COMSystemApp" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\ Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "DeviceDesc"="COM+ System Applications" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\ Root\\LEGACY_COMSYSTEMAPP\\0000 键值 : 字串 : "Service"="COMSystemApp" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\ Services\\COMSystemApp 键值 : 字串 : "Description"=" 管理基于组件对象模型 (COM+) 的组件的配置和跟踪。如果停止该服务,则大多数 基于 COM+ 的组件将不能正常工作。如果禁用该服务,则 任何明确依赖它的服务都将无法启动 " HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\ Services\\COMSystemApp 键值 : 字串 : "DisplayName"="COM+ System Applications" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\ Services\\COMSystemApp\\Enum 键值 : 字串 : "0"="Root\\LEGACY_COMSYSTEMAPP\\0000" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp 键值 : 字串 : "ImagePath"="C:\\WINNT\\dllhost.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp 键值 : 字串 : "ObjectName"="LocalSystem" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\COMSystemApp\\Start 键值 : DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\cmd.exe 键值 : 字串 : "Debugger"="setuprs1.PIF" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\msconfig.exe 键值 : 字串 : "Debugger"="4465.PIF" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\regedit.exe 键值 : 字串 : "Debugger"="setuprs1.PIF" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\regedt32.exe 键值 : 字串 : "Debugger"="setuprs1.PIF" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。