病毒介紹
病毒名稱: Backdoor.Win32.Hupigon.czn中文名稱: 灰鴿子變種
病毒類型: 後門
檔案MD5: EA260A4ECCDAD0B86949EC5BB72B984E公開範圍: 完全公開
危害等級: 4
檔案長度: 434,636 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: ASProtect 1.2x [New Strain]
命名對照: 驅逐艦[無]
AVG [無]
病毒描述:
該病毒屬後門類,該病毒圖示是QQ圖示,用以迷惑用戶點擊。病毒運行後在資料夾%Program Files%下新建一個名為HgzServer的資料夾,並衍生病毒檔案到此資料夾下,重命名為G_Server1.2.exe,修改註冊表,新建服務,並以服務的方式達到隨機啟動的目的。該病毒可以遠程控制用戶機器。行為分析:
1、該病毒圖示是QQ圖示,用以迷惑用戶點擊。
2、病毒運行後衍生病毒檔案:
%Program Files%\HgzServer\G_Server1.2.exe
病毒檔案屬性為隱藏
3、修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_SYSTEM\0000\
鍵值: 字串: "Service"="SYSTEM"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "Description"="病毒管理程式"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "DisplayName"="SYSTEM"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\Enum\
鍵值: 字串: "0"="Root\LEGACY_SYSTEM\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "ImagePath"="C:\Program Files\HgzServer\G_Server1.2.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSTEM\
鍵值: 字串: "NextInstance"=DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\Enum\
鍵值: 字串: "Count"=DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\Enum\
鍵值: 字串: "NextInstance"=DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "ErrorControl"=DWORD: 0 (0)
4、新建服務,並以服務的方式達到隨機啟動的目的:
服務名稱:SYSTEM
顯示名稱:SYSTEM
描述:病毒管理程式
執行檔的路徑:C:\Program Files\HgzServer\G_Server1.2.exe
啟動類型:自動
5、該病毒可通過後門遠程控制用戶機器:
進行上傳、下載、刪除檔案,掃描用戶機器,遠程抓取視頻等操作。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
G_Server1.2.exe
(2) 刪除病毒檔案
%Program Files%\HgzServer\G_Server1.2.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_SYSTEM\0000\
鍵值: 字串: "Service"="SYSTEM"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "Description"="病毒管理程式"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "DisplayName"="SYSTEM"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\Enum\
鍵值: 字串: "0"="Root\LEGACY_SYSTEM\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "ImagePath"="C:\Program Files\HgzServer\G_Server1.2.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSTEM\
鍵值: 字串: "NextInstance"=DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\Enum\
鍵值: 字串: "Count"=DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\Enum\
鍵值: 字串: "NextInstance"=DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM\
鍵值: 字串: "ErrorControl"=DWORD: 0 (0)
關閉服務:SYSTEM,並把此服務的啟動類型改為:已禁止。
