B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy





Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Backdoor.Win32.Hupigon.fdnv

Szkodnik ten jest trojanem. Ma posta膰 pliku PE EXE o rozmiarze 28672 bajt贸w (kompresja AsPack, rozmiar po rozpakowaniu - oko艂o 119KB). Szkodnik zosta艂 stworzony przy pomocy j臋zyka programowania Delphi.

Instalacja

Po uruchomieniu trojan przypisuje swojemu plikowi wykonywalnemu atrybut "ukryty" i kopiuje go do katalogu g艂贸wnego systemu Windows, tak jak pokazano poni偶ej: 

%System%wintemp.exe
%System%syswin.exe

Zainfekowany plik zostaje nast臋pnie uruchomiony w celu wykonania.

Funkcje szkodnika

Trojan pr贸buje nast臋pnie skontaktowa膰 si臋 z poni偶szym adresem URL: 

http://www.qq.com/***

W momencie tworzenia tego opisu odsy艂acz ten nie dzia艂a艂.

Nast臋pnie trojan okre艣la nazw臋 oraz adres IP atakowanej maszyny i wysy艂a te informacje do serwera zdalnego szkodliwego u偶ytkownika: 

http://www.75*****.com/images/ge.asp?u=&i=
address>

Nast臋pnie trojan pobiera plik z poni偶szego adresu URL: 

http://reg.75*****.com/image/log.jpg

i zast臋puje tym plikiem zawarto艣膰 poni偶szych plik贸w: 

%System%wintemp.exe
%System%syswin.exe

Plik ten ma rozmiar 28 672 bajt贸w. Oprogramowanie Kaspersky Anti-Virus wykrywa je jako Backdoor.Win32.Hupigon.fsfz. Trojan ten uruchamia te pliki w celu wykonania. Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z ka偶dym startem systemu, trojan dodaje nast臋puj膮cy odsy艂acz do rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"IeServer" = "%System%syswin.exe"

Trojan wstrzykuje r贸wnie偶 sw贸j kod do przestrzeni adresowej "elementclient.exe". 艢ledzi wprowadzanie poufnych danych do formularza rejestracyjnego gry internetowej "Perfect World".

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia proces贸w “wintemp.exe” i “syswin.exe”.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy parametr klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "IeServer" = "%System%syswin.exe"

  4. Usu艅 nast臋puj膮ce pliki: 
     
%System%wintemp.exe
%System%syswin.exe
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Kontakt | Polityka plik贸w cookie
Copyright © 2023 WirusPC.pl