基本介紹
- 中文名: 灰鴿子變種
- 外文名:Backdoor.Win32.Hupigon.cda
- 病毒類型:後門
- 公開範圍: 完全公開
簡介,病毒描述,清除方案,
簡介
病毒名稱: Backdoor.Win32.Hupigon.cda
中文名稱: 灰鴿子變種
病毒類型: 後門
檔案 MD5: F99940FC6136BE7C9AD18AA85988F3B8
公開範圍: 完全公開
危害等級: 4
檔案長度: 379,904 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 未知殼
命名對照: 驅逐艦 [無]
BitDefender [ 無 ]
病毒描述
行為分析:
1 、 該病毒圖示為瑞星防火牆圖示,用以迷惑用戶點擊。
2 、 病毒運行後複製自身到 windows 目錄下,並重命名為 maconfig.exe ,刪除自身:
%windir%\ maconfig.exe
3 、 修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\ImagePath
值 : 類型 : REG_EXPAND_SZ 長度 : 24 位元組
43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E | C:\WINDOWS\macon
66 69 67 2E 65 78 65 00 | fig.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\Start
值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\Type
值 : DWORD: 272 (0x110)
4 、 新建服務,並以服務的方式達到隨機啟動的目的:
服務名稱: maconfig
顯示名稱: maconfig
描述: maconfig
執行檔的路徑: C:\WINDOWS\maconfig.exe
啟動類型:自動
5 、 病毒在任務管理器中開啟 IEXPLORE.EXE 進程,並利用 IEXPLORE.EXE 隱藏自身進程。
6 、 病毒運行後可遠程控制用戶機器。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
IEXPLORE.EXE
(2) 刪除病毒檔案:
%windir%\ maconfig.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\ImagePath
值 : 類型 : REG_EXPAND_SZ 長度 : 24 位元組
43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E |
C:\WINDOWS\macon
66 69 67 2E 65 78 65 00 | fig.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\Start
值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\Type
值 : DWORD: 272 (0x110)
停止服務: maconfig
並將其啟動類型改為:已禁止。
