Backdoor.Win32.Hupigon.cot

該病毒屬後門類,病毒運行後衍生病毒檔案到系統目錄下,並刪除自身,修改註冊表,創建服務,以服務的方式使病毒達到隨機啟動的目的,該病毒是灰鴿子變種,可以遠程控制用戶機器,進行上傳、下載、新建、刪除檔案等操作。

病毒綜述

病毒名稱: Backdoor.Win32.Hupigon.cot
中文名稱: 灰鴿子
病毒類型: 後門
檔案 MD5: E30502E5768329F3F5C52B8BDA2B7643
公開範圍: 完全公開
危害等級: 3
檔案長度: 486,912 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0-7.0
加殼類型: ASProtect 1.2x [New Strain]
命名對照: 驅逐艦[BackDoor.Pigeon.377]
  BitDefender [無

病毒描述

該病毒屬後門類,病毒運行後衍生病毒檔案到系統目錄下,並刪除自身,修改註冊表,創建服務,以服務的方式使病毒達到隨機啟動的目的,該病毒是灰鴿子變種,可以遠程控制用戶機器,進行上傳、下載、新建、刪除檔案等操作。
行為分析:
1、病毒運行後衍生病毒檔案到系統目錄下,並刪除自身:
%WINDIR%\lsass.exe
2、修改註冊表,創建服務,以服務的方式使病毒達到隨機啟動的目的:
刪除的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\NtmsSvc\Parameters\
鍵值: 字串: "ServiceDll"=" %SystemRoot%\system32\ntmssvc.dll"
修改的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NtmsSvc\
新建鍵值: 字串: " ImagePath "="C:\WINDOWS\lsass.exe"
原鍵值: 字串: " ImagePath "=" %SystemRoot%\system32
\svchost.exe -k netsvcs"
新建的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\Control\
鍵值: 字串: *NewlyCreated*""="0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\Control\
鍵值: 字串: "ActiveService "="NtmsSvc"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\
鍵值: 字串: "DeviceDesc "="Removable Storage"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\
鍵值: 字串: "Service "="NtmsSvc"
創建服務:
服務名稱:NtmsSvc
顯示名稱:Removable Storage
描述:管理可移動媒體、驅動程式和庫。
執行檔的路徑:C:\WINDOWS\lsass.exe
啟動類型:自動
4、該病毒是灰鴿子變種,可以遠程控制用戶機器,進行上傳、下載、新建、刪除檔案等操作。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%WINDIR%\lsass.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
刪除的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\NtmsSvc\Parameters\
鍵值: 字串: "ServiceDll"=" %SystemRoot%\system32\ntmssvc.dll"
修改的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\NtmsSvc\
新建鍵值: 字串: " ImagePath "="C:\WINDOWS\lsass.exe"
原鍵值: 字串: " ImagePath "=" %SystemRoot%\system32
\svchost.exe -k netsvcs"
新建的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\Control\
鍵值: 字串: *NewlyCreated*""="0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\Control\
鍵值: 字串: "ActiveService "="NtmsSvc"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\
鍵值: 字串: "DeviceDesc "="Removable Storage"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_NTMSSVC\0000\
鍵值: 字串: "Service "="NtmsSvc"

相關搜尋

熱門詞條

聯絡我們