MYSQL安装图解 PHP MYSQL MYSQL下载 iis下载 iis php IIS是什么

病毒标签


病毒名称： Backdoor/Win32.Hupigon.ibyy
病毒类型： 后门
文件 MD5： 632C74B8909FD16E24CD2B9A9050418E
公开范围： 完全公开
危害等级： 4
文件长度： 47,104 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPX


病毒描述


该恶意代码文件为远程控制后门类木马，病毒运行后先解压释放并加载必要的资源信息包括（病毒的连网上线地址、端口、服务名），遍历%System32%目录下是否存在System64.exe文件，如不存在则拷贝自身到该目录下重命名为System64.exe，创建注册表服务项，以服务方式实现开机启动病毒目的，开启USERINIT.EXE进程连接到作者指定的地址，等待接收病毒作者发送的控制指令，被感染的机器会被病毒作者完全控制释放批处理文件用于删除病毒自身文件。

行为分析-本地行为


1、文件运行后会释放以下文件
%System32%\System64.exe

2、创建注册表病毒服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsMSG\Description
值: 字符串: "This Is Windows MSG Manager"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsMSG\DisplayName
值: 字符串: "WindowsMSG"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsMSG\ImagePath
值: 字符串: "C:\WINDOWS\system32\System64.exe."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsMSG\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsMSG\Type
值: DWORD: 272 (0x110)

3、病毒运行后先解压释放并加载必要的资源信息包括（病毒的连网上线地址、端口、服务名）：
"nbxmm.3322.org|2009|60|WindowsMSG|WindowsMSG|This Is Windows MSG Manager|1|1|DRAT2009|nbdmm|"

行为分析-网络行为


协议：TCP
端口：2009
IP地址：nbxmm.3***.org
描述：连接到该域名等待接收病毒作者发送的控制指令



清除方案


手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，
（1）使用ATOOL“服务管理”停止病毒服务。

（2）使用ATOOL“文件管理”强行删除病毒文件
%System32%\System64.exe

（3）删除病毒服务注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsMSG]
删除Qq键下的WindowsMSG键值