科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Backdoor.Win32.Hupigon.ani(kendy.exe、baixue.exe)分析指南

Backdoor.Win32.Hupigon.ani(kendy.exe、baixue.exe)分析指南

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒为远程控制木马类,病毒运行后获取%temp%目录,衍生kendy.exe、baixue.exe到该目录下,调用WinExec函数加载kendy.exe、baixue.exe病毒文件,kendy.exe运行之后复制自身到%Program Files%\_rejoice819.exe,%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe下,创建注册表病毒服务

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
病毒标签


病毒名称: Backdoor.Win32.Hupigon.ani
病毒类型: 木马
文件 MD5: C56D4CEC70A30D6CA4D742F823E63079
公开范围: 完全公开
危害等级: 4
文件长度: 333,024 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing

病毒描述


该病毒为远程控制木马类,病毒运行后获取%temp%目录,衍生kendy.exe、baixue.exe到该目录下,调用WinExec函数加载kendy.exe、baixue.exe病毒文件,kendy.exe运行之后复制自身到%Program Files%\_rejoice819.exe,%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe下,创建注册表病毒服务,以服务方式加载病毒文件,该病毒文件经分析为远程控制类木马,创建iexplore.exe进程通过连接域名转向IP地址,等待病毒作者发送控制指令,BaiXue.exe为正常文件无任何恶意行为,用于病毒辅助工具,运行之后提示错误信息,误导用户认为文件为损坏的,该病毒运行时释放木马过程用户是无法看到的,所以很轻易使用户受到欺骗。
行为分析-本地行为


1、文件运行后会释放以下文件
%Documents and Settings%\当前用户\Local Settings\Temp\BaiXue.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe
%Program Files%\_rejoice819.exe

2、创建注册表病毒服务项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "Description"
类型: REG_SZ"
值:字串:"上兴远程控制服务端"
描述: 病毒服务描述

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "DisplayName"
类型: REG_SZ
值:字符串: "Windows_rejoice2008_819"
描述: 病毒服务名

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "ImagePath"
类型: REG_SZ
值:字符串: "C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice819.exe."
描述: 服务映像文件的启动路径

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "Start"
类型: REG_SZ
值: "DWORD: 2 (0x2)"
描述: 服务的启动方式,手动

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "Type"
类型: REG_SZ
值: "DWORD: 272 (0x110)"
描述: 服务类型

3、创建iexplore.exe进程通过连接域名转向IP地址,等待病毒作者发送控制指令,BaiXue.exe为正常文件无任何恶意行为,用于病毒辅助工具,运行之后提示错误信息。

行为分析-网络行为


协议:TCP
端口:80
域名:http://alfit.2***.cc/ip.txt 通过域名转向IP地址:222.189.238.***
描述:通过域名转向连接到IP地址等待接收病毒作者发送的控制指令

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
     %Windir%             WINDODWS所在目录
     %DriveLetter%          逻辑驱动器根目录
     %ProgramFiles%          系统程序默认安装目录
     %HomeDrive%           当前启动的系统的所在分区
     %Documents and Settings%    当前用户文档根目录
     %Temp%             \Documents and Settings
                     \当前用户\Local Settings\Temp
     %System32%            系统的 System32文件夹
    
     Windows2000/NT中默认的安装路径是C:\Winnt\System32
     windows95/98/me中默认的安装路径是C:\Windows\System
     windowsXP中默认的安装路径是C:\Windows\System32


--------------------------------------------------------------------------------

清除方案

手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool管理工具,请点击下载。
(1) 使用ATOOL“进程管理”结束iexplore.exe进程。

(2) 强行删除病毒文件
%Documents and Settings%\a\Local Settings\Temp\BaiXue.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe
%Program Files%\_rejoice819.exe

(3) 删除病毒服务注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
注册表值: "Windows_rejoice2008_819"
删除Windows_rejoice2008_819键下所有的键值
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章