Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Backdoor.Win32.Hupigon.fdnv

Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 28672 bajtów (kompresja AsPack, rozmiar po rozpakowaniu - około 119KB). Szkodnik został stworzony przy pomocy języka programowania Delphi.

Instalacja

Po uruchomieniu trojan przypisuje swojemu plikowi wykonywalnemu atrybut "ukryty" i kopiuje go do katalogu głównego systemu Windows, tak jak pokazano poniżej:

%System%wintemp.exe
%System%syswin.exe

Zainfekowany plik zostaje następnie uruchomiony w celu wykonania.

Funkcje szkodnika

Trojan próbuje następnie skontaktować się z poniższym adresem URL:

http://www.qq.com/***

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Następnie trojan określa nazwę oraz adres IP atakowanej maszyny i wysyła te informacje do serwera zdalnego szkodliwego użytkownika:

http://www.75*****.com/images/ge.asp?u=&i=
address> 

Następnie trojan pobiera plik z poniższego adresu URL:

http://reg.75*****.com/image/log.jpg

i zastępuje tym plikiem zawartość poniższych plików:

%System%wintemp.exe
%System%syswin.exe

Plik ten ma rozmiar 28 672 bajtów. Oprogramowanie Kaspersky Anti-Virus wykrywa je jako Backdoor.Win32.Hupigon.fsfz. Trojan ten uruchamia te pliki w celu wykonania. Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan dodaje następujący odsyłacz do rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"IeServer" = "%System%syswin.exe"

Trojan wstrzykuje również swój kod do przestrzeni adresowej "elementclient.exe". Śledzi wprowadzanie poufnych danych do formularza rejestracyjnego gry internetowej "Perfect World".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesów “wintemp.exe” i “syswin.exe”.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "IeServer" = "%System%syswin.exe"

  4. Usuń następujące pliki:
     
    %System%wintemp.exe
    %System%syswin.exe
    
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).