后門程序
Backdoor.Win32.Hupigon.aael
捕獲時間
2011-02-01
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的“后門程序”,由微點主動防御軟件自動捕獲,長度為“697,344”字節,圖標為“
”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是控制用戶電腦。當用戶計算機感染此木馬病毒后,發現未知端口開啟,用戶數據資料丟失等現象.
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Backdoor.Win32.Hupigon.aael”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
手動刪除文件
1.刪除%ProgramFiles%\HgzServer\mstsc.exe
2. 刪除病毒源文件
3. 刪除%temp%\IXP000.TMP\111.exe
手動刪除注冊表
1.刪除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
名稱:wextract_cleanup0
數據:rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\dishui\LOCALS~1\Temp\IXP000.TMP\"
2.刪除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cryptographic
名稱:IMAGEPATH
數據:C:\Program Files\HgzServer\mstsc.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.病毒獲取系統時間和文件時間后,創建一個無名的事件對象,找到相關資源名稱為:“extractopt”和“instancecheck ”后加載之然后釋放之。如果沒有找到相關資源,則會以消息機制的形式彈出警告對話框,告訴用戶沒有找到相關資源。
2.如果找到相關資源,繼續查找之。
3.病毒獲得系統目錄路徑,找到"C:\WINDOWS\System32\advapi32.dll",加載該dll文件,獲取decryptfilea函數地址后釋放之。
4.病毒在臨時文件路徑下創建%temp%\IXP000.TMP\111.exe,并創建進程以隱藏命令行的形式CommandLine = "C:\DOCUME~1\當前用戶\LOCALS~1\Temp\IXP000.TMP\111.exe"啟動該進程。
5.病毒一直等待信號,如果得到程序發出的結束信號,就自己退出該程序。
6.否則繼續病毒運行。病毒將%temp%\IXP000.TMP\111.exe設置為正常屬性,然后刪除之。
7.%temp%\IXP000.TMP\111.exe通過相關字符串解密開網絡地址,以便以后病毒利用該網絡地址。
8.111.exe病毒比較自己是否是"IEXPLORE.EXE",如果不是,病毒在"C:\Program Files\Internet Explorer\"路徑目錄下遍歷文件"IEXPLORE.EXE",查找到將"%temp%\IXP000.TMP\111.exe"替換并改名為"C:\Program Files\Internet Explorer\IEXPLORE.EXE"文件,以便用戶訪問網頁時候點擊該文件。操作完成以后,該程序退出。
9.如果是,繼續比較是否是“C:\Program Files\HgzServer\mstsc.exe”,如果直接退出該病毒主程序。如果不是病毒打開互斥體變量“Hacker.com.cn_MUTEX”,主要是防止程序多次運行。
10.如果“C:\Program Files\HgzServer\”目錄下有“mstsc.exe”先刪除“C:\Program Files\HgzServer\mstsc.exe”文件,用替換的方式拷貝"%temp%\IXP000.TMP\111.exe"到“C:\Program Files\HgzServer\mstsc.exe”.并將該文件設置系統隱藏屬性以及創建相關的服務項: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cryptographic指向的數據為C:\Program Files\HgzServer\mstsc.exe,用戶啟動機器時候以到達自啟動的目的。
病毒創建文件:
%temp%\IXP000.TMP\111.exe
%ProgramFiles%\HgzServer\mstsc.exe
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
名稱:wextract_cleanup0
數據:rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\dishui\LOCALS~1\Temp\IXP000.TMP\"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cryptographic
名稱:IMAGEPATH
數據:C:\Program Files\HgzServer\mstsc.exe
病毒訪問網絡:
linfang19.****.org:8000
