flyleaf 发表于 2008-11-20 15:56

Backdoor.Win32.Hupigon.afjm分析

一、 病毒标签:
病毒名称: Backdoor.Win32.Hupigon.afjm
病毒类型: 后门
文件 MD5: 5C3BE8210DEEF401E1CF4A8623B068EE
公开范围: 完全公开
危害等级: 4
文件长度: 266,999 字节
感染系统: Windows98以上版本
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping

二、 病毒描述:
该病毒为后门类病毒,病毒运行后,复制自身到%Program Files%\Common Files\Microsoft Shared\MSINFO\目录下,重命名为:r47.exe,并将属性设置为隐藏,查找%system32%\drivers目录下是否存在klif.sys文件,开启iexplore.exe进程,加载ntdll.dll,动态获取ZwUnmapViewOfSection函数,利用该函数获取当前进程的基址,申请内存空间,将病毒代码写入iexplore.exe进程中,创建病毒服务,以服务方式启动病毒文件,病毒运行完毕后删除自身,自身克隆到系统进程calc.exe来保护病毒进程,系统利用iexplore.exe连接网络进行通信,等待接收病毒作者发送的控制命令。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Program Files%\Common Files\Microsoft Shared\MSINFO\r47.exe
%system32%\_r47.exe

2、查找%system32%\drivers目录下是否存在klif.sys文件,开启iexplore.exe进程,加载ntdll.dll,动态获取ZwUnmapViewOfSection函数,利用该函数获取当前进程的基址,申请内存空间,写入1048576字节的病毒数据到iexplore.exe进程中,病毒运行完毕后删除自身,自身克隆到系统进程calc.exe来保护病毒进程,利用iexplore.exe连接网络进行通信,

3、创建病毒服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\DisplayName
值: 字符串: "Windows_ree47"
描述:病毒服务名
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\ Windows_ree47\ImagePath
值: 字符串: "c:\Program Files\Common Files\Microsoft Shared\MSInfo\r47.exe."
描述:服务映像文件的启动路径
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\Start
值: DWORD: 2 (0x2)
描述:病毒启动方式为手动
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47\Type
值: DWORD: 272 (0x110)
描述:病毒服务类型

网络行为: 
协议:TCP
端口:818`
IP地址:221.225.30.*** 
连接IP地址等待控制端发送控制命令

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”结束iexplore.exe、calc.exe进程
(2)使用ATOOL工具删除病毒文件
%Program Files%\Common Files\Microsoft Shared\MSINFO\r47.exe
%system32%\_r47.exe
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_ree47
删除Services键值下的Windows_ree47主键值

imovidai 发表于 2008-12-2 09:01

我想了解一些关于UFO的绝密档案,不知在哪能看到呀……
页: [1]
查看完整版本: Backdoor.Win32.Hupigon.afjm分析