Kanały RSS | Uaktualnienia | Sklep online | Produkty   


Wszystkie zagrożenia

Wirusy

Hakerzy

Spam
Wirusy Cała strona
  
Encyklopedia Wirusów
Riskware
Kalendarium
Aktualności
Artykuły/Analizy
Słownik
Dziennik Analityków


Środowisko złośliwego oprogramowania
Opisy złośliwego oprogramowania
Wirusy plikowe, DOS
Wirusy sektora startowego
Wirusy wieloczęściowe
Wirusy wieloplatformowe
Wirusy NewEXE
Makrowirusy
Konstruktory wirusów
Wirusy HLP
Wirusy Java
Generatory polimorficzne i bazujące na nich wirusy
Konie trojańskie
Wirusy skryptowe
Robaki
Żarty oraz programy nie będące wirusami
Wirusy dla systemu Palm OS
Szkodliwe programy
Dowcipy
Backdoory
Kto pisze złośliwe programy?
Historia złośliwych programów
Tendencje w złośliwym oprogramowaniu
Gdy komputer został zainfekowany
Kalendarz aktywności wirusów
Skaner antywirusowy on-line

O hakerach

Dowiedz się o nowościach związanych z tematem Hakerzy

O Spamie

Co to jest spam? Jakie są najnowsze informacje dotyczące spamu. Zajrzyj tutaj

Poziomy Zagrożenia Epidemią Wirusów

Zastanawiasz się co oznaczają poszczególne poziomy aktywności wirusów? Zajrzyj tutaj
Strona Główna / Wirusy / Opisy złośliwego oprogramowania / Backdoory

Backdoor.Win32.Hupigon.fdnv


Wykrywany od15 grudnia 2008
Data dodania opisu15 maja 2009
KlasyfikacjaBackdoory
Szczegóły Techniczne
Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 28672 bajtów (kompresja AsPack, rozmiar po rozpakowaniu - około 119KB). Szkodnik został stworzony przy pomocy języka programowania Delphi.

Instalacja

Po uruchomieniu trojan przypisuje swojemu plikowi wykonywalnemu atrybut "ukryty" i kopiuje go do katalogu głównego systemu Windows, tak jak pokazano poniżej: 

%System%\wintemp.exe
%System%\syswin.exe

Zainfekowany plik zostaje następnie uruchomiony w celu wykonania.

Funkcje szkodnika

Trojan próbuje następnie skontaktować się z poniższym adresem URL: 

http://www.qq.com/***

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Następnie trojan określa nazwę oraz adres IP atakowanej maszyny i wysyła te informacje do serwera zdalnego szkodliwego użytkownika: 

http://www.75*****.com/images/ge.asp?u=&i=
address>

Następnie trojan pobiera plik z poniższego adresu URL: 

http://reg.75*****.com/image/log.jpg

i zastępuje tym plikiem zawartość poniższych plików: 

%System%\wintemp.exe
%System%\syswin.exe

Plik ten ma rozmiar 28 672 bajtów. Oprogramowanie Kaspersky Anti-Virus wykrywa je jako Backdoor.Win32.Hupigon.fsfz. Trojan ten uruchamia te pliki w celu wykonania. Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan dodaje następujący odsyłacz do rejestru systemowego:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IeServer" = "%System%\syswin.exe"

Trojan wstrzykuje również swój kod do przestrzeni adresowej "elementclient.exe". Śledzi wprowadzanie poufnych danych do formularza rejestracyjnego gry internetowej "Perfect World".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesów “wintemp.exe” i “syswin.exe”.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący parametr klucza rejestru systemowego:

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IeServer" = "%System%\syswin.exe"

  4. Usuń następujące pliki: 
     
%System%\wintemp.exe
%System%\syswin.exe
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).



Copyright © 1997 - 2010 Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.
ul. Krótka 27a 42-200 Częstochowa
tel./fax +48 34 3681814, 801 000 215

Email: webmaster@kaspersky.pl