基本介紹
- 中文名:上興遠程控制
- 外文名: Backdoor.Win32.Hupigon.bvk
- 病毒類型: :後門類
- 危害等級: :高
簡介,行為分析,清除方案,
簡介
病毒名稱: Backdoor.Win32.Hupigon.bvk
中文名稱: 上興遠程控制
病毒類型: 後門類
檔案 MD5: D8CD510E7FA929FC150BC95285897771
公開範圍: 完全公開
危害等級: 高
檔案長度: 729,088 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
命名對照: 驅逐艦[Backdoor.Pigeon.360]
Ewido[Backdoor.Hupigon.bvk]
行為分析
1、衍生下列副本與檔案
%program files\common files%\microsoft shared\msinfo\rejoice.exe病毒檔案
2、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\Description
鍵值: 字元串: "上興遠控服務端"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\DisplayName
鍵值: 字元串: "Windows_rejoice"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\ErrorControl
鍵值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 66 (0x42) 位元組
C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\ObjectName
鍵值: 字元串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\Security\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\Security\Security
鍵值: 類型: REG_BINARY 長度: 168 (0xa8) 位元組
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\Start
鍵值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\Type
鍵值: DWORD: 272 (0x110)
3、插入ws2_32.dll到IE與conime.exe進程反向連線某IP,等待受控
TCP 本機名:1177***.245.43.***:http SYN_SENT 湖南省株洲市 電信
4、採用Rootkit技術攔截API,服務端無進程,無連線埠
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
IEXPLORE.EXE
Conime.exe
(2) 刪除病毒衍生檔案
%program files\common files%\microsoft shared\msinfo\rejoice.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice\
