Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Backdoor.Win32.Hupigon.fdnv

Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 28672 bajtów (kompresja AsPack, rozmiar po rozpakowaniu - około 119KB). Szkodnik został stworzony przy pomocy języka programowania Delphi.

Instalacja

Po uruchomieniu trojan przypisuje swojemu plikowi wykonywalnemu atrybut "ukryty" i kopiuje go do katalogu głównego systemu Windows, tak jak pokazano poniżej:

%System%\wintemp.exe
%System%\syswin.exe

Zainfekowany plik zostaje następnie uruchomiony w celu wykonania.

Funkcje szkodnika

Trojan próbuje następnie skontaktować się z poniższym adresem URL:

http://www.qq.com/***

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Następnie trojan określa nazwę oraz adres IP atakowanej maszyny i wysyła te informacje do serwera zdalnego szkodliwego użytkownika:

http://www.75*****.com/images/ge.asp?u=<name of="of" computer="computer">&i=<ip
address> 

Następnie trojan pobiera plik z poniższego adresu URL:

http://reg.75*****.com/image/log.jpg

i zastępuje tym plikiem zawartość poniższych plików:

%System%\wintemp.exe
%System%\syswin.exe

Plik ten ma rozmiar 28 672 bajtów. Oprogramowanie Kaspersky Anti-Virus wykrywa je jako Backdoor.Win32.Hupigon.fsfz. Trojan ten uruchamia te pliki w celu wykonania. Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan dodaje następujący odsyłacz do rejestru systemowego:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IeServer" = "%System%\syswin.exe"

Trojan wstrzykuje również swój kod do przestrzeni adresowej "elementclient.exe". Śledzi wprowadzanie poufnych danych do formularza rejestracyjnego gry internetowej "Perfect World".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesów “wintemp.exe” i “syswin.exe”.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący parametr klucza rejestru systemowego:

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IeServer" = "%System%\syswin.exe"

  4. Usuń następujące pliki:
     
    %System%\wintemp.exe
    %System%\syswin.exe
    
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).