backdoor.win32.hupigon.x 病毒扫盲
病毒名称: backdoor.win32.hupigon.x
病毒类型: 后门
危害等级: 高
文件长度: 472,064 字节
感染系统: windows 98 以上版本
开发工具: Delphi
加壳类型: ASProtect
病毒描述:
该病毒属“灰鸽子”的一个变种,感染该病毒后,会释放出5个文件,分别位于%windir%、%windir%\TEMP和系统盘根目录下,感染后在根目录下释放 UNINSTAL.BAT 文件,该批处理文件用于删除原病毒体。注册系统服务,从而以服务的方式启动自身。修改与服务相关的注册表。收集受感染主机的一些信息并发送给远程控制者,如:当前日期,计算机名称, IP 地址,剪切办内容。创建互斥体。通过挂载 API 、远程注入方式通过 80 端口访问网络,继而达到穿透防火墙的目的。是一种危险性较高的病毒。开启*****服务。
行为分析:
1 、创建互斥量“ Gpigeon_Shared_MUTEX ”。
2 、将自身复制为 %windir%\system.exe ,并在同位置释放病毒的 DLL 文件:
system.dll 、 system_hook.dll 、 systemkey.dll 。
在 %windir%\TEMP\ 下释放 System0.DLL 文件 属性:隐藏。
3 、 根目录下释放 UNINSTAL.BAT 文件,用于删除原病毒体。
4 、修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable
Media Serial Number S HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv
\ImagePath
键: %windir%\TEMP\MC21.TMP HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\ProxyEnable
键: DWORD: 0 (0)
5 、通过修改注册表的键达到随系统启动的目的,修改如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S
6 、收集受感染主机的一些信息,并发送给远程连接者。
