Polski
Kalendarz Kanały RSS Kontakt Ankiety
Szukaj
Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Home Encyklopedia Backdoory Backdoor.Win32.Hupigon.fdnv

Backdoor.Win32.Hupigon.fdnv

Szkodnik ten jest trojanem. Ma postać pliku PE EXE o rozmiarze 28672 bajtów (kompresja AsPack, rozmiar po rozpakowaniu - około 119KB). Szkodnik został stworzony przy pomocy języka programowania Delphi.

Instalacja

Po uruchomieniu trojan przypisuje swojemu plikowi wykonywalnemu atrybut "ukryty" i kopiuje go do katalogu głównego systemu Windows, tak jak pokazano poniżej: 

%System%\wintemp.exe
%System%\syswin.exe

Zainfekowany plik zostaje następnie uruchomiony w celu wykonania.

Funkcje szkodnika

Trojan próbuje następnie skontaktować się z poniższym adresem URL: 

http://www.qq.com/***

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Następnie trojan określa nazwę oraz adres IP atakowanej maszyny i wysyła te informacje do serwera zdalnego szkodliwego użytkownika: 

http://www.75*****.com/images/ge.asp?u=<name of="of" computer="computer">&i=<ip
address>

Następnie trojan pobiera plik z poniższego adresu URL: 

http://reg.75*****.com/image/log.jpg

i zastępuje tym plikiem zawartość poniższych plików: 

%System%\wintemp.exe
%System%\syswin.exe

Plik ten ma rozmiar 28 672 bajtów. Oprogramowanie Kaspersky Anti-Virus wykrywa je jako Backdoor.Win32.Hupigon.fsfz. Trojan ten uruchamia te pliki w celu wykonania. Aby zapewnić sobie automatyczne uruchamianie się wraz z każdym startem systemu, trojan dodaje następujący odsyłacz do rejestru systemowego:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IeServer" = "%System%\syswin.exe"

Trojan wstrzykuje również swój kod do przestrzeni adresowej "elementclient.exe". Śledzi wprowadzanie poufnych danych do formularza rejestracyjnego gry internetowej "Perfect World".

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesów “wintemp.exe” i “syswin.exe”.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący parametr klucza rejestru systemowego:

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IeServer" = "%System%\syswin.exe"

  4. Usuń następujące pliki: 
     
%System%\wintemp.exe
%System%\syswin.exe
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).

Drukuj
Udostępnij

Analizy

Spam i phishing w 2018 r.

Cyberzagrożenia finansowe w 2018 r.

Ewolucja mobilnego szkodliwego oprogramowania w 2018 r.

Zagrożenia dla użytkowników stron dla dorosłych w 2018 roku

Ataki DDoS w IV kwartale 2018 r.

Blog

Zdalnie kontrolowane domowe ładowarki pojazdów elektrycznych – zagrożenia i luki w zabezpieczeniach

Czy wiesz, ile jesteś wart?

Badanie dot. aplikacji umożliwiających korzystanie ze wspólnych samochodów (car sharing)

Żadnej taryfy ulgowej dla szkodnika ExPetr

ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware



Kaspersky Anti-virus Logo

©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.

kaspersky.pl

Produkty i Usługi

Sklep

Zagrożenia

Do pobrania

Pomoc techniczna

Partnerzy

O firmie

securelist.pl

Analizy

Statystyki

Encyklopedia

Słownik