Win32/Hupigon.V

Ответ на математический пример, который Вы ввели - неверный.

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Написана на языке Delphi, упакована Aspack. Является приложением Windows (PE EXE-файл). Размер файла — 418304 байт.
Запуск

После запуска бэкдор копирует себя в корневой каталог Windows с именем G_Server.exe:
%Windir%\G_Server.exe

Также в корневом каталоге Windows бэкдор создает следующие файлы:
%Windir%\G_ServerKey.dll (38912 байт) %Windir%\G_Server.dll (372736 байт) %Windir%\G_Server_HOOk.dll (61440 байт)

Причем файлы G_Server.exe, G_ServerKey.dll и G_Server.dll создаются с атрибутами скрытые (hidden), системные (system) и только для чтения (read only).

Бэкдор регистрирует в реестре службу GrayPigeonServer в режиме автозапуска (параметр Start = "dword:00000002").

Для этого в системном реестре создаются следующие ключи:

Для Windows NT, 2000, XP и Server 2003:

[HKLM\System\CurrentControlSet\Services\GrayPigeonServer]
"DisplayName"="Gray_Pigeon_Server"
"ErrorControl"="dword:00000000"
"ImagePath"="%windir%\G_Server.exe"
"ObjectName"="LocalSystem"
"Start"="dword:00000002"
"Type"="dword:00000272"

[HKLM\System\CurrentControlSet\Services\GrayPigeonServer\Enum]
"0"="Root\LEGACY_GRAYPIGEONSERVER\0000"
"Count"="dword:00000001"
"NextInstance"="dword:00000001"

[HKLM\System\CurrentControlSet\Services\GrayPigeonServer\]
"Security"="01 00 14 80 90 00 00 00 9c 00 00 00 14..."

[HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER]
"NextInstance"="dword:00000001"

[HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER\0000]
"Class"="LegacyDriver"
"ClassGUID"="{8EECC055D-057F-11D1-A537-0000F8753ED1}"
"ConfigFlags"="dword:00000000"
"DeviceDesc"="Gray_Pigeon_Server"
"Legacy"="dword:00000001"
"Service"="GrayPigeonServer"

Для Windows 98, Me:

[HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"G_Server.exe"="%windir%\G_Server.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"G_Server.exe"="%windir%\G_Server.exe"
Действие

Троян использует rootkit-техники для скрытия своих процессов в системе. Внося изменения в память активных процессов, заставляет их вызывать свои вредоносные функций. При этом нельзя пронаблюдать исполняемый троянский код в списке исполняемых задач.

После запуска троянца стартует уже проинсталлированная служба GrayPigeonServer. Далее он инфицирует процесс IEXPLORER.EXE (открывает его со всеми возможными правами и производит в его адресное пространство запись своих данных, тем самым подключая функции из библиотек: G_Server_HOOk.dll, G_ServerKey.dll). В свою очередь уже IEXPLORER.EXE заражает все остальные активные процессы в системе. Сам процесс G_Server.exe завершает свое выполнение и удаляет cвою исходную копию.

Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе:

Gpigeon5_Shared_2005
Gpigeon5_Shared_HIDE (для библиотеки G_Server_HOOk.dll)

IEXPLORER.EXE пытается установить соединение с vip.***gezi.com:8004 и получает предписания для дальнейшей загрузки и открытия различных портов с целью дать доступ удаленному пользователю к зараженной машине.
Удаление
Перезагрузить Windows в безопасный режим (при загрузке Windows нажать F8 и выбрать Safe Mode).
Удалить следующие файлы:
%Windir%\G_Server.exe %Windir%\G_ServerKey.dll %Windir%\G_Server.dll %Windir%\G_Server_HOOk.dll
Удалить следующие объекты в реестре:
[HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
[HKLM\SYSTEM\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER]

Источник информации stopvirus.ru

Отправить новый комментарий

Пожалуйста решите математический пример выше и заполните результат. (напр для 1+1, введите 2)
Содержимое этого поля хранится скрыто и не будет показываться публично.