Board logo

标题: [转帖]警惕Backdoor.Win32.Hupigon.td [打印本页]

作者: h24arb    时间: 2006-1-17 13:57     标题: [转帖]警惕Backdoor.Win32.Hupigon.td

转帖:警惕Backdoor.Win32.Hupigon.td
来自安天实验室:
http://www.antiy.com/index.htm
病毒标签:
病毒名称:Backdoor.Win32.Hupigon.td
病毒类型:后门
文件 MD5:9EA17D2C08BE8DF8EE90DC323EDDBDC8
公开范围:完全公开
危害等级:中
文件长度:933888字节
感染系统:Win9x以上所有版本
开发工具:DELPHY
加壳类型:未知壳
命名对照:Mcafee [BackDoor-AWQ.b]
     Symentec[Backdoor.Trojan]

病毒描述:
  病毒运行初次后,先自我复制到%WINDIR%目录下重命名为winters.exe,同时释放出winters.DLL(后门主要功能)、winters_Hook.DLL(实现隐藏功能)两个文件。接着把自己添加到注册表服务项,使自己开机自启动。然后运行服务的方式运行winters.exe。winters.exe启动以后会与IP:219.150.114.221的7879端口进行连接,同时打开本地1080端口等待被连接。该后门能完全的控制服务端主机,包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。

行为分析:
1、自我复制到%WINDIR%目录下重命名为winters.exe, 同时释放出winters.DLL(后门主要功能)、winters_Hook.DLL(实现隐藏功能)两个文件
2、把自己添加到注册表服务项:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
  添加服务项:winters_Server
为了达到伪装的目的,该服务的描述被特别改成为:
“用于协助系统底层程序的运行。如果此服务被禁止则一些应用于系统底层的程序将无法正常工作。”
3、与IP:202.194.240.114的80端口进行连接,同时打开本地80端口等待被连接。
4、td变种只具有隐藏文件的功能,但它不能隐藏自己注入的iexplore.exe进程。
5、该后门能完全的控制服务端主机,包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案:
1、使用安天木马防线2005+可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
 (1)删除注册表病毒相关键值:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
   删除项名:winters_Server
 (2)删除病毒释放的文件:
   %WINDIR%\winters.exe
   %WINDIR%\winters.DLL
   %WINDIR%\ winters_Hook.DLL

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀: 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。




欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2