Backdoor.Win32.Hupigon.emv
病毒名称: Backdoor.Win32.Hupigon.emv
病毒类型: 后门
文件 MD5: 1D8B98F417340D9B399A5F9F9944B2E3
公开范围: 完全公开
危害等级: 3
文件长度: 762,368 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 无
病毒描述:
该病毒属后门类,病毒图标白色背景图标,用以迷惑用户点击运行。病毒运行后复制自身
到 %windir% 下,文件名为 dllhost.exe ,并在 %windir% 文件夹下衍生病毒文件
setuprs1.PIF ,在各个盘根目录下衍生病毒文件 autorun.inf.tmp 和 runauto.. ;
修改注册表,创建服务,以达到随机启动的目的;对一些命令映像劫持。
行为分析:
1 、病毒运行后复制自身到 %windir% 下和各盘的根目录下:
%windir%dllhost.exe
%windir% setuprs1.PIF
各个盘跟目录 autorun.inf.tmp
各个盘跟目录 runauto..
2 、修改注册表,创建服务,以达到随机启动的目的:
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "Class"="LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "ClassGUID"="{ 8ECC055D-047F-11D1-A537-0000F8753ED1 }"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRoot
LEGACY_COMSYSTEMAPP�000Control
键值 : 字串 : "ActiveService"="COMSystemApp"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "DeviceDesc"="COM+ System Applications"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "Service"="COMSystemApp"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCOMSystemApp
键值 : 字串 : "Description"=" 管理基于组件对象模型 (COM+) 的组件的配置和跟踪。
如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任
何明确依赖它的服务都将无法启动 "
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCOMSystemApp
键值 : 字串 : "DisplayName"="COM+ System Applications"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCOMSystemAppEnum
键值 : 字串 : "0"="RootLEGACY_COMSYSTEMAPP�000"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCOMSystemApp
键值 : 字串 : "ImagePath"="C:WINNTdllhost.exe"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCOMSystemApp
键值 : 字串 : "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesCOMSystemAppStart
键值 : DWORD: 2 (0x2)
3 、修改注册表,添加映像劫持项目:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution Optionscmd.exe
键值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution Optionsmsconfig.exe
键值 : 字串 : "Debugger"="4465.PIF"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution Options
egedit.exe
键值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution Options
egedt32.exe
键值 : 字串 : "Debugger"="setuprs1.PIF"
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “服务管理”关闭病毒服务,并关闭 dllhost 进程。
(2) 删除病毒文件:
%windir%dllhost.exe
%windir% setuprs1.PIF
各个盘跟目录 autorun.inf.tmp
各个盘跟目录 runauto..
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_LOCAL_MACHINESYSTEMControlSet001Enum
RootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "Class"="LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMControlSet001Enum
RootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "ClassGUID"=
"{ 8ECC055D-047F-11D1-A537-0000F8753ED1 }"
HKEY_LOCAL_MACHINESYSTEMControlSet001Enum
RootLEGACY_COMSYSTEMAPP�000Control
键值 : 字串 : "ActiveService"="COMSystemApp"
HKEY_LOCAL_MACHINESYSTEMControlSet001Enum
RootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "DeviceDesc"="COM+ System Applications"
HKEY_LOCAL_MACHINESYSTEMControlSet001Enum
RootLEGACY_COMSYSTEMAPP�000
键值 : 字串 : "Service"="COMSystemApp"
HKEY_LOCAL_MACHINESYSTEMControlSet001
ServicesCOMSystemApp
键值 : 字串 : "Description"=" 管理基于组件对象模型
(COM+) 的组件的配置和跟踪。如果停止该服务,则大多数
基于 COM+ 的组件将不能正常工作。如果禁用该服务,则
任何明确依赖它的服务都将无法启动 "
HKEY_LOCAL_MACHINESYSTEMControlSet001
ServicesCOMSystemApp
键值 : 字串 : "DisplayName"="COM+ System Applications"
HKEY_LOCAL_MACHINESYSTEMControlSet001
ServicesCOMSystemAppEnum
键值 : 字串 : "0"="RootLEGACY_COMSYSTEMAPP�000"
HKEY_LOCAL_MACHINESYSTEMControlSet001
ServicesCOMSystemApp
键值 : 字串 : "ImagePath"="C:WINNTdllhost.exe"
HKEY_LOCAL_MACHINESYSTEMControlSet001
ServicesCOMSystemApp
键值 : 字串 : "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINESYSTEMControlSet001
ServicesCOMSystemAppStart
键值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionImage File Execution Optionscmd.exe
键值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionImage File Execution Optionsmsconfig.exe
键值 : 字串 : "Debugger"="4465.PIF"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionImage File Execution Options
egedit.exe
键值 : 字串 : "Debugger"="setuprs1.PIF"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionImage File Execution Options
egedt32.exe
键值 : 字串 : "Debugger"="setuprs1.PIF"