木马Backdoor.Win32.Hupigon.mrv (jpg.exe SSL.EXE)
一、病毒相关分析:
病毒名称:Backdoor.Win32.Hupigon.mrv(IKARUS)
病毒类型:木马
危害级别:2
感染平台:Windows
病毒大小:341,504 字节
MD5 :fbc46ac66ba8d1eb6e4b8ee061a36f3b
加壳类型:--
开发工具:--
病毒行为:
1、程序运行后,释放副本
%Systemroot%\SSL.exe 属性:只读、隐藏、系统。
2. 添加服务名为SSL的服务,然后启动进程SSL.EXE,连接网络:59.37.71.85
2、SSL.exe试图启动IE,试图修改其内存。启动用户名为system的IE进程成功后,SSL.exe自动退出。
注册表主要变化:
新增主键
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSL\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSL\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSL\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSL\
SREng日志表现:
==================================
服务
[SSL / SSL][Running/Auto Start]
<C:\WINDOWS\SSL.EXE><N/A>
==================================
正在运行的进程
[PID: ??? / SYSTEM][C:\WINDOWS\SSL.EXE] [N/A, ] (未退出时)
[PID: ??? / SYSTEM][C:\Program Files\Internet ExploreR\IEXPLORE.EXE]
[Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
==================================
备注:???为PID值
二、解决方案
1.终止IEXPLORE.EXE进程,删除 %Systemroot%\SSL.exe
2.删除病毒创建的注册表值,删除服务SSL
SREng--启动项目--服务--服务之如下项删除
[SSL / SSL] <C:\WINDOWS\SSL.EXE><N/A>
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
图
样本来源:剑盟中国社区 http://bbs.janmeng.com/thread-715050-1-1.html
您的位置: