灰鸽子变种Win32.Hupigon.aqc分析报告

　　病毒名称： Backdoor.Win32.Hupigon.aqc

　　病毒类型： 后门类

　　文件 MD5： 45AF12FEE7E3077156FC5B3CD0B8836F

　　文件长度： 245,825 字节

　　感染系统： windows 98以上版本

　　加壳类型： nSPack 3.1

　　病毒描述：

　　该病毒为灰鸽子变种，病毒运行后，复制自身到系统目录下重命名为UMWdfa.com，并删除自身。创建服务，并以服务的方式达到随机启动的目的。创建进程UMWdfa.com下载病毒文件,并连接网络等待病毒控制端连接。连接成功后用户机器会受到远程控制。

　　行为分析：

　　1、病毒运行后，复制自身到系统目录下，并删除自身：

　　%System32%\Microsoft\UMWdfa.com

　　2、修改注册表值，以修改Internet默认设置：

　　3、创建服务，并以服务的方式达到随机启动的目的：

　　服务名称： Windows UMWdfa

　　显示名称： Windows User Modb Driver Frame

　　描述： Enables Windows user mode drivers

　　可执行文件的路径： C:\WINDOWS\system32\Microsoft\UMWdfa.com

　　启动方式： 自动

　　4、连接网络下载相关病毒文件:

　　协议：TCP

　　地址：www.jjxhw.com(210.51.12.206：80)

　　端口：80

　　进程：UMWdfa.com

　　5、创建进程UMWdfa.com连接网络等待病毒控制端(192.168.18.3：5680)连接。连接成功后用户机器会受到远程控制。

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量;路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径;

　　病毒通过查询操作系统来决定当前System32文件夹的位置;

　　Windows2000/NT中默认的安装路径是　C:\Winnt\System32;

　　Windows95/98/Me中默认的安装路径是　C:\Windows\System;

　　WindowsXP中默认的安装路径是　C:\Windows\System32。

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool(安天安全管理工具)，ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。

　　(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

　　(2) 强行删除病毒文件

　　%System32%\Microsoft\UMWdfa.com

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　(4) 禁用服务Windows UMWdfa