灰鸽子变种Win32.Hupigon.aqc分析报告

文章作者 100test 发表时间 2008:04:07 17:07:01
来源 100Test.Com百考试题网

病毒名称： Backdoor.Win32.Hupigon.aqc

　　病毒类型： 后门类

　　文件 MD5： 45AF12FEE7E3077156FC5B3CD0B8836F

　　文件长度： 245，825 字节

　　感染系统： windows 98以上版本

　　加壳类型： nSPack 3.1

　　病毒描述：

　　该病毒为灰鸽子变种，病毒运行后，复制自身到系统目录下重命名为UMWdfa.com，并删除自身。创建服务，并以服务的方式达到随机启动的目的。创建进程UMWdfa.com下载病毒文件，并连接网络等待病毒控制端连接。连接成功后用户机器会受到远程控制。

　　行为分析：

　　1、病毒运行后，复制自身到系统目录下，并删除自身：

　　%System32%\Microsoft\UMWdfa.com

　　2、修改注册表值，以修改Internet默认设置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings\Cache\Paths\Directory 　　新: 字符串: "C:\Documents and Settings\LocalService\Local Settings \Temporary Internet Files\Content.IE5" 　　旧: 字符串: "C:\Documents and Settings\commander\Local Settings\ Temporary Internet Files\Content.IE5" 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings\Cache\Paths\path1\CachePath 　　新: 字符串: "C:\Documents and Settings\LocalService\Local Settings \Temporary Internet Files\Content.IE5\Cache1" 　　旧: 字符串: "C:\Documents and Settings\commander\Local Settings \Temporary Internet Files\Content.IE5\Cache1" 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Internet Settings\Cache\Paths\path2\CachePath 　　新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\ Temporary Internet Files\Content.IE5\Cache2" 　　旧: 字符串: "C:\Documents and Settings\commander\Local Settings\ Temporary Internet Files\Content.IE5\Cache2"

　　3、创建服务，并以服务的方式达到随机启动的目的：

　　服务名称： Windows UMWdfa

　　显示名称： Windows User Modb Driver Frame

　　描述： Enables Windows user mode drivers

　　可执行文件的路径： C：\WINDOWS\system32\Microsoft\UMWdfa.com

　　启动方式： 自动

　　4、连接网络下载相关病毒文件：

　　协议：TCP

　　地址：www.jjxhw.com（210.51.12.206：80）

　　端口：80

　　进程：UMWdfa.com

　　5、创建进程UMWdfa.com连接网络等待病毒控制端（192.168.18.3：5680）连接。连接成功后用户机器会受到远程控制。

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C：\Windows\System；

　　WindowsXP中默认的安装路径是　C：\Windows\System32.

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com .

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm .

　　（1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

　　（2） 强行删除病毒文件

　　%System32%\Microsoft\UMWdfa.com

　　（3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings\Cache\Paths\Directory 　　新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\ Temporary Internet Files\Content.IE5" 　　旧: 字符串: "C:\Documents and Settings\commander\Local Settings\ Temporary Internet Files\Content.IE5" 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings\Cache\Paths\path1\CachePath 　　新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\ Temporary Internet Files\Content.IE5\Cache1" 　　旧: 字符串: "C:\Documents and Settings\commander\Local Settings\ Temporary Internet Files\Content.IE5\Cache1" 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings\Cache\Paths\path2\CachePath 　　新: 字符串: "C:\Documents and Settings\LocalService\Local Settings\ Temporary Internet Files\Content.IE5\Cache2" 　　旧: 字符串: "C:\Documents and Settings\commander\Local Settings\ Temporary Internet Files\Content.IE5\Cache2"

　　（4） 禁用服务Windows UMWdfa