Backdoor/Win32.Hupigon.drek分析 - 安天[病毒分析报告]

    网络信息安全是一个博大精深的技术体系，安天将自己的注意力专注于主要矛盾，即计算机网络病毒问题。
    根据有关机构统计，全球超过80%的安全事件均与病毒有关，网络病毒是信息社会面临的主要安全挑战之一，因此，安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合，形成了自身的产品内涵。


	当前位置：首页 - 安全响应中心 -> 病毒分析报告

Backdoor/Win32.Hupigon.drek分析
出处：安天实验室时间：2010年1月5日

病毒标签
	病毒名称： Backdoor/Win32.Hupigon.drek 病毒类型：后门文件 MD5： C3DDBBF331EF7299D2E0332F441065C0 公开范围：完全公开危害等级： 4 文件长度： 710,656 字节感染系统： Windows98以上版本开发工具： Borland Delphi 6.0 - 7.0
病毒描述
	该病毒文件为后门类木马，病毒运行后用LOAD资源加密信息，该加密信息包括（上线IP地址、端口、衍生的文件名及要注入的进程、服务名等），创建互斥量名为：yataghanfuckyoumother09防止病毒多次运行造成冲突，拷贝自身到%Windir%目录下并命名为：yataghan.exe，添加注册表服务启动项，开启一个IEXPLOER.EXE进程并将病毒代码注入到该进程中通过连接网络进行通信，病毒运行后删除自身文件。控制者对感染的用户进行剪切、复制、拷贝、删除、视频监控、语音监听等恶意操控。
行为分析-本地行为
	1、文件运行后会释放以下文件 %Windir%\yataghan.exe 2、病毒运行后用Load资源加密信息，包括病毒要衍生病毒名称、上线IP地址、端口、服务名等信息 CCCQFOGTCKCYAYAIECBZBFEJHADBEGEQANGNCWJFCGCJEFGUAGAJDXEOFGFCBAEUEYACHNHIGRDTFKISBJBUEMFEFRELIBEBBHA HHAGHBBDMESHLDOFQFGEGFLDOFBATCPGPCTBEAEBEAMGGJSDIFUHQDJFZDICHBQBIGMEXHKHPFZFYBBAYFOEEJKIRFPATDTICGN BYGIHAIFCOAOEMBFAZIYGJGOBRBUHHDPHDEJFKJFJABGJTBTEZJCEIBBANGWGEBPAJEZIVESEUJSBZCDHECNAFEOHHDYBAAKEWH KJGEDEWGLAGAODQIODBHMFGAHDDCKDAHQADDLEYFCBT 解密后： 10.0.23.**:7187、yataghan.exe、yataghanfuckurmother、60000、iexplore.exe、 yataghanfuckyoumother09 3、开启一个IEXPLORE.EXE进程并将病毒代码注入到该进程中连接网络进行通信，还有一种方法是注入到userinit.exe、svchost.exe进程中 4、创建病毒服务 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Description 值: 字符串: "FinalFantasy服务端程序" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\DisplayName 值: 字符串: "yataghanfuckurmother" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Description 值: 字符串: "FinalFantasy服务端程序" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\ImagePath 值: 字符串: "C:\WINDOWS\yataghan.exe." HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Start 值: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Type 值: DWORD: 272 (0x110) 描述：添加注册表服务
行为分析-网络行为
	协议：TCP 端口：7187 IP地址：10.0.23.** 描述：连接到远程IP等待控制端发送控制指令注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% 　　　　　　　　　　 WINDODWS所在目录 %DriveLetter%　　　　　　　　逻辑驱动器根目录 %ProgramFiles%　　　　　　　系统程序默认安装目录 %HomeDrive% 　　　　　　　　　当前启动的系统的所在分区 %Documents and Settings% 　　　当前用户文档根目录 %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp %System32% 　　　　　　　　　　系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\Winnt\System32 windows95/98/me中默认的安装路径是%WINDOWS%\System windowsXP中默认的安装路径是%system32%

清除方案
	1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。（1）使用ATOOL管理工具，“进程管理”强行结束IEXPLORE.EXE进程。（2）删除病毒文件 %Windir%\yataghan.exe （3）删除病毒添加的服务 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Description 值: 字符串: "FinalFantasy服务端程序" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\DisplayName 值: 字符串: "yataghanfuckurmother" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Description 值: 字符串: "FinalFantasy服务端程序" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\ImagePath 值: 字符串: "C:\WINDOWS\yataghan.exe." HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Start 值: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yataghanfuckurmother\Type 值: DWORD: 272 (0x110)