|
| Backdoor.Win32.Hupigon.aj分析报告 |
|
| 作者:未知 文章来源:赛迪网 点击数: 更新时间:2007-9-7 1:00:52 |
|
安天CERT
一、 病毒标签:
病毒名称: Backdoor.Win32.Hupigon.aj
病毒类型: 后门类
文件 MD5: 7BAA195BE639E62C6DB4DA4B8C133A4E
公开范围: 完全公开
危害等级: 4
文件长度: 344,197 字节
感染系统: windows 98以上版本
加壳类型: nSPack 2.1 - 2.5
二、 病毒描述:
该病毒为灰鸽子的变种,病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身;病毒运行时病毒文件在系统文件夹下不可见。创建服务,并以服务的方式达到随机启动的目的。在执行时将windows_rerver.DLL插入到IEXPLORER.EXE进程;将windows_rerver_Hook.DLL插入到IEXPLORER.EXE进程和其它相关进程中。记录键盘信息,访问网络下载相关病毒文件;同时等待病毒控制端连接,连接成功后中毒机器会受到远程控制。
三、 行为分析:
1、病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身;病毒运行时病毒文件在系统文件夹下不可见:
%WINDIR%\windows_rerver.exe.
%WINDIR%\windows_rerver.DLL.
%WINDIR%\windows_rerver_Hook.DLL.
2、修改注册表值,改变Internet默认设置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
3、创建服务,并以服务的方式达到随机启动的目的:
服务名称: windows_rerver
显示名称: windows_rerver
描述: 系统必须服务,如果禁止则开机就自动重起
可执行文件的路径: C:\WINDOWS\windows_rerver.exe
启动方式: 自动
4、查找IEXPLORER.EXE和其它相关进程信息;设置远程线程来执行windows_rerver.DLL和windows_rerver_Hook.DLL, 在执行时将windows_rerver.DLL插入到IEXPLORER.EXE进程;将windows_rerver_Hook.DLL插入到IEXPLORER.EXE进程和其它相关进程中。
5、windows_rerver.DLL以IEXPLORER.EXE进程记录键盘信息,访问网络xiangnii.10mb.cn (219.153.45.148:80) 下载相关病毒文件;等待病毒服务端连接,连接成功后中毒机器会受到远程控制。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%\windows_rerver.exe.
%WINDIR%\windows_rerver.DLL.
%WINDIR%\windows_rerver_Hook.DLL.
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath
新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
旧: 字符串: "C:\Documents and Settings\commander\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
(4) 禁用服务windows_rerver
|
|
| 新闻录入:郝丽 责任编辑:郝丽 |
|
|
上一篇新闻: 网游图标变"酷狮子"木马 网游玩家真假难辨
下一篇新闻: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)