论坛 › 病毒播报 › Backdoor.Win32.Hupigon.ani分析

flyleaf 发表于 2008-9-18 15:17

Backdoor.Win32.Hupigon.ani分析

一、 病毒标签：
病毒名称： Backdoor.Win32.Hupigon.ani
病毒类型： 木马
文件 MD5： C56D4CEC70A30D6CA4D742F823E63079
公开范围： 完全公开
危害等级： 4
文件长度： 333,024 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： Upack 0.3.9 beta2s -> Dwing

二、 病毒描述：
该病毒为远程控制木马类，病毒运行后获取%temp%目录，衍生kendy.exe、baixue.exe到该目录下，调用WinExec函数加载kendy.exe、baixue.exe病毒文件，kendy.exe运行之后复制自身到%Program Files%\_rejoice819.exe，%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe下，创建注册表病毒服务，以服务方式加载病毒文件，该病毒文件经分析为远程控制类木马，创建iexplore.exe进程通过连接域名转向IP地址，等待病毒作者发送控制指令，BaiXue.exe为正常文件无任何恶意行为，用于病毒辅助工具，运行之后提示错误信息，误导用户认为文件为损坏的，该病毒运行时释放木马过程用户是无法看到的，所以很轻易使用户受到欺骗。

三、 行为分析：
本地行为：
1、文件运行后会释放以下文件
%Documents and Settings%\当前用户\Local Settings\Temp\BaiXue.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe
%Program Files%\_rejoice819.exe
2、创建注册表病毒服务项

注册表值: "Description"
类型： REG_SZ"
值：字串："上兴远程控制服务端"
描述: 病毒服务描述

注册表值: "DisplayName"
类型： REG_SZ
值：字符串: "Windows_rejoice2008_819"
描述: 病毒服务名

注册表值: "ImagePath"
类型： REG_SZ
值：字符串: "C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice819.exe."
描述: 服务映像文件的启动路径

注册表值: "Start"
类型： REG_SZ
值："DWORD: 2 (0x2)"
描述: 服务的启动方式，手动

注册表值: "Type"
类型： REG_SZ
值："DWORD: 272 (0x110)"
描述: 服务类型
3、创建iexplore.exe进程通过连接域名转向IP地址，等待病毒作者发送控制指令，BaiXue.exe为正常文件无任何恶意行为，用于病毒辅助工具，运行之后提示错误信息
网络行为：
协议：TCP
端口：80
域名：http://alfit.2***.cc/ip.txt通过域名转向IP地址：222.189.238.***
描述：通过域名转向连接到IP地址等待接收病毒作者发送的控制指令

注：       %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
            %Windir% 　　　　　 　　　　　WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　
四、 清除方案：
      1、使用安天防线2008可彻底清除此病毒(推荐)。
       请到安天网站下载：http://www.antiy.com
      2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
      （1） 使用ATOOL“进程管理”结束iexplore.exe进程
      （2） 强行删除病毒文件
          %Documents and Settings%\a\Local Settings\Temp\BaiXue.exe
          %Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe
          %Program Files%\_rejoice819.exe
      （3） 删除病毒服务注册表项
         
          注册表值: "Windows_rejoice2008_819"
          删除Windows_rejoice2008_819键下所有的键值

查看完整版本: Backdoor.Win32.Hupigon.ani分析