捕獲時間
2008-10-25
病毒摘要
該樣本是使用Delphi編寫的后門程序,由微點主動防御軟件自動捕獲����,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為 381,952 字節,圖標為
使用“exe”擴展名�,通過“誘騙用戶點擊”��、“文件捆綁”等途徑植入用戶計算機,病毒主要用于竊取用戶隱私和作為遠控后門使用���。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬����、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒�。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“可疑程序,試圖修改可執行文件”����,請直接選擇刪除處理(如圖1)�;
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�����,微點將報警提示您發現"Backdoor.Win32.Hupigon.cys”����,請直接選擇刪除(如圖2)�。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1�����、不要在不明站點下載非官方版本的軟件進行安裝���,避免病毒通過捆綁的方式進入您的系統�����。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺���,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持�。
3����、開啟windows自動更新�����,及時打好漏洞補丁�����。
病毒分析
該樣本被執行后,釋放驅動文件“beep.sys”到目錄“%SystemRoot%\system32\drivers\”和“%SystemRoot%\system32\dllcache\”下以替換系統原有文件�����,以系統原服務加載此驅動,達到不對注冊表操作即可躲避多款殺軟的主動防御�;隨后在目錄“C:\Program Files\”下創建子目錄“twmit”��,并將自身拷貝至此目錄下重命名為“twmit.exe”,通過SCM寫注冊表將病毒拷貝“twmit.exe”注冊成名為“SCpati”的服務并啟動此服務���;病毒通過批處理執行自刪除。
相關注冊表鍵值如下:
| |
項:HKLM\SYSTEM\CurrentControlSet\Services\SCpati\
鍵值:DisplayName
指向數據:Switching Compatibility
項:HKLM\SYSTEM\CurrentControlSet\Services\SCpati\
鍵值:ImagePath
指向文件:C:\Program Files\twmit\timyet.exe
項:HKLM\SYSTEM\CurrentControlSet\Services\SCpati\
鍵值:Start
指向數據:02
項:HKLM\SYSTEM\CurrentControlSet\Services\SCpati\
鍵值:Description
指向數據:安全策略以及啟動 ISAKMP/Oakley |
|
病毒主程序運行后�����,以掛起方式啟動進程“winlogon.exe”�����,申請空間將自身代碼寫入,執行遠程線程將寫入的代碼作為其一個線程運行�����,后臺聯網從空間http ://wuxiaojun2007.vicp.net上讀取后門種植者所設置的IP地址和端口號進行反向連接��,連接成功后與黑客進行通訊����,接受黑客的控制����,使被病毒感染主機倫為傀儡主機。
