[转帖]警惕后门Backdoor.Win32.Hupigon.fv

转帖:警惕后门Backdoor.Win32.Hupigon.fv
来自安天实验室：
http://www.antiy.com/index.htm
病毒标签：
病毒名称：Backdoor.Win32.Hupigon.fv
病毒类型：后门
文件 MD5：36E95B8D4B8ED838119B2CCDF35179F3
公开范围：完全公开
危害等级：高
文件长度：257720字节
感染系统：Win9x以上所有版本
开发工具：DELPHY
加壳类型：未知壳
命名对照：Mcafee [无]
　　　　　Symentec[无]

病毒描述：
    病毒运行初次后，先自我复制到%WINDIR%目录下重命名为BDC.exe。接着把自己添加到注册表服务项，使自己开机自启动。然后运行BDC.exe。BDC.exe启动以后会与IP：211.151.248.160的8000端口进行连接，同时打开本地1030、1032端口等待被连接。该后门能完全的控制服务端主机，包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、并且还能远程打开服务端机子的视频设备等等……。

行为分析：
1、 自我复制到%WINDIR%目录下重命名为BDC.exe。
2、 把自己添加到注册表服务项：
　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
　添加服务项：Spplication Layer Gateway Serv
为了达到伪装的目的，该服务的描述被特别改成为： “为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持”
3、 与IP：211.151.248.160的8000端口进行连接，同时打开本地1030、1032端口等待被连接。
4、 该后门能完全的控制服务端主机，包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……并且还能远程打开服务端机子的视频设备。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

清除方案：
1、使用安天木马防线2005+可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　(1) 删除注册表病毒相关键值：
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
　　删除项名：Spplication Layer Gateway Serv
　(2) 删除病毒释放的文件：
　　%WINDIR%\BDC.exe

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+：
　 木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:　
    采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。