至顶网›安全频道 ›Backdoor.Win32.Hupigon.elv分析报告

Backdoor.Win32.Hupigon.elv分析报告

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

病毒名称： Backdoor.Win32.Hupigon.elv 病毒类型：后门类

来源：论坛整理 2008年7月29日

安天实验室 CERT组分析

一、病毒标签：

病毒名称： Backdoor.Win32.Hupigon.elv
病毒类型：后门类
文件 MD5： D97E883A04DC10935E0313150CB8498B
公开范围：完全公开
危害等级： 4
文件长度： 842,057 字节
感染系统： windows 98以上版本
加壳类型：未知壳

二、病毒描述：

病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身。创建服务，并以服务的方式达到随机启动的目的。进程进行键盘记录，主动访问网络连接病毒服务端，连接成功后中毒电脑会受到远程控制。

三、行为分析：

1、病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身。病毒运行时其副本和衍生文件在系统目录下都不可见，且病毒副本的属性中的修改时间被更改，来迷惑中毒用户:
%WINDIR%/Winmgnts.exe
%WINDIR%/Winmgnts.DLL
%WINDIR%/WinmgntsKey.DLL
%WINDIR%/Winmgnts_Hook.DLL

2、修改注册表，以更改Internet的默认设置：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Cache/Paths/Directory
新: 字符串: "C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5"
旧: 字符串: "C:/Documents and Settings/commander/Local Settings/Temporary Internet Files/Content.IE5"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Cache/Paths/path1/CachePath
新: 字符串: "C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/Cache1"
旧: 字符串: "C:/Documents and Settings/commander/Local Settings/Temporary Internet Files/Content.IE5/Cache1"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Cache/Paths/path2/CachePath
新: 字符串: "C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/Cache2"
旧: 字符串: "C:/Documents and Settings/commander/Local Settings/Temporary Internet Files/Content.IE5/Cache2"

3、创建服务，并以服务的方式达到随机启动的目的：
服务名称： winmgntserver
显示名称： Windows Management Service
描述：使基于 Windows Management 的应用程序能够正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件的路径： C:/WINDOWS/Winmgnts.exe
启动方式：自动

4、将WinmgntsKey.DLL,Winmgnts_Hook.DLL插入到IEXPLORER.EXE进程和其它应用程序进程中

5、Winmgnts.DLL以IEXPLORER.EXE进程进行键盘记录，访问网络(61.151.241.97:8001),等待病毒服务端连接，连接成功后中毒电脑会受到远程控制。

注释：
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量；路径为：
%Documents and Settings%/当前用户/Local Settings/Temp
%System32% 是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。

四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

(2) 强行删除病毒文件
%WINDIR%/Winmgnts.exe
%WINDIR%/Winmgnts.DLL
%WINDIR%/WinmgntsKey.DLL
%WINDIR%/Winmgnts_Hook.DLL

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Cache/Paths/Directory
新: 字符串: "C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5"
旧: 字符串: "C:/Documents and Settings/commander/Local Settings/Temporary Internet Files/Content.IE5"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Cache/Paths/path1/CachePath
新: 字符串: "C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/Cache1"
旧: 字符串: "C:/Documents and Settings/commander/Local Settings/Temporary Internet Files/Content.IE5/Cache1"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Cache/Paths/path2/CachePath
新: 字符串: "C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/Cache2"
旧: 字符串: "C:/Documents and Settings/commander/Local Settings/Temporary Internet Files/Content.IE5/Cache2"

（4）禁用服务winmgntserver

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

Backdoor.Win32.Hupigon.elv分析报告

业界热点: