[转帖]警惕Backdoor.Win32.Hupigon.td

转帖：警惕Backdoor.Win32.Hupigon.td
来自安天实验室：
http://www.antiy.com/index.htm
病毒标签：
病毒名称：Backdoor.Win32.Hupigon.td
病毒类型：后门
文件 MD5：9EA17D2C08BE8DF8EE90DC323EDDBDC8
公开范围：完全公开
危害等级：中
文件长度：933888字节
感染系统：Win9x以上所有版本
开发工具：DELPHY
加壳类型：未知壳
命名对照：Mcafee [BackDoor-AWQ.b]
　　　　　Symentec[Backdoor.Trojan]

病毒描述：
　 病毒运行初次后，先自我复制到%WINDIR%目录下重命名为winters.exe，同时释放出winters.DLL（后门主要功能）、winters_Hook.DLL（实现隐藏功能）两个文件。接着把自己添加到注册表服务项，使自己开机自启动。然后运行服务的方式运行winters.exe。winters.exe启动以后会与IP：219.150.114.221的7879端口进行连接，同时打开本地1080端口等待被连接。该后门能完全的控制服务端主机，包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。

行为分析：
1、自我复制到%WINDIR%目录下重命名为winters.exe, 同时释放出winters.DLL（后门主要功能）、winters_Hook.DLL（实现隐藏功能）两个文件
2、把自己添加到注册表服务项：
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
　　添加服务项：winters_Server
为了达到伪装的目的，该服务的描述被特别改成为：
“用于协助系统底层程序的运行。如果此服务被禁止则一些应用于系统底层的程序将无法正常工作。”
3、与IP：202.194.240.114的80端口进行连接，同时打开本地80端口等待被连接。
4、td变种只具有隐藏文件的功能，但它不能隐藏自己注入的iexplore.exe进程。
5、该后门能完全的控制服务端主机，包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
清除方案：
1、使用安天木马防线2005+可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　(1)删除注册表病毒相关键值：
　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
　　　删除项名：winters_Server
　(2)删除病毒释放的文件：
　　　%WINDIR%\winters.exe
　　　%WINDIR%\winters.DLL
　　　%WINDIR%\ winters_Hook.DLL

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+：
　 木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:　
    采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。