Home → Encyklopedia → Backdoory → Backdoor.Win32.Hupigon.fdnv
Instalacja
Po uruchomieniu trojan przypisuje swojemu plikowi wykonywalnemu atrybut "ukryty" i kopiuje go do katalogu głównego systemu Windows, tak jak pokazano poniżej:
%System%\wintemp.exe %System%\syswin.exe
Zainfekowany plik zostaje następnie uruchomiony w celu wykonania.
Funkcje szkodnika
Trojan próbuje następnie skontaktować się z poniższym adresem URL:
http://www.qq.com/***
W momencie tworzenia tego opisu odsyłacz ten nie działał.
Następnie trojan określa nazwę oraz adres IP atakowanej maszyny i wysyła te informacje do serwera zdalnego szkodliwego użytkownika:
http://www.75*****.com/images/ge.asp?u=<name of="of" computer="computer">&i=<ip address>
Następnie trojan pobiera plik z poniższego adresu URL:
http://reg.75*****.com/image/log.jpg
i zastępuje tym plikiem zawartość poniższych plików:
%System%\wintemp.exe %System%\syswin.exe
Plik ten ma rozmiar 28 672 bajtów. Oprogramowanie Kaspersky Anti-Virus wykrywa je jako Backdoor.Win32.Hupigon.fsfz. Trojan ten uruchamia te pliki w celu wykonania. Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan dodaje następujący odsyłacz do rejestru systemowego:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IeServer" = "%System%\syswin.exe"
Trojan wstrzykuje również swój kod do przestrzeni adresowej "elementclient.exe". Śledzi wprowadzanie poufnych danych do formularza rejestracyjnego gry internetowej "Perfect World".
Usuwanie szkodnika z zainfekowanego systemu
Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IeServer" = "%System%\syswin.exe"
%System%\wintemp.exe %System%\syswin.exe
Analizy
Blog