新版灰鸽子dllhost.exe的一些特点及手工查杀流程
主体文件名:dllhost.exe
文件大小: 762368 bytes
MD5: 9825e84cab8476682e631403d1835981
SHA1: 3bf7713c184d75ae39dc7fbbef5a4b83ab910d6c
多引擎扫描结果:
AVG报:BackDoor.Hupigon.LK
卡巴斯基报:Backdoor.Win32.Hupigon.emv
F-Secure报:Backdoor.Win32.Hupigon.emv
一、特点:
1、文件释放:
(1)在WINDOWS目录下释放病毒文件:
dllhost.exe
setupss1.pif
(2)在硬盘各分区根目录下创建autorun.inf和隐藏文件夹runauto..
runauto..文件夹中包含病毒文件autorun.pif
autorun.inf文件内容:
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
(runauto..文件夹及其中的病毒文件autorun.pif需用IceSword才能删除)。
2、通过IFEO劫持将系统程序cmd.exe、msconfig.exe、regedit.exe、regedt32.exe导向病毒文件setuprs1.exe和xxxx.pif(X为随机数字)。
3、病毒会关闭autorans.exe窗口。但因其动作较慢,中招后,用户还是可以运行autorans.exe,发现这只鸽子的IFEO劫持项(图1)。dllhost.exe会反复写入这几个注册表项
4、IceSword进程列表中可见病毒进程%windows%\dllhost.exe(非隐藏)。但“禁止进程创建”前,此病毒进程无法结束(图2)。
5、这只鸽子感染U盘,且可通过U盘传播。U盘根目录下的病毒文件内容与硬盘各分区根目录下的病毒文件内容相同。
二、查杀流程(使用IceSword):
1、禁止进程创建。
2、结束病毒进程%windows%\dllhost.exe。
3、删除病毒文件:
%windows%\dllhost.exe
%windows%\setuprs1.exe
X:\runauto..\autorun.pif(X代表各硬盘分区以及U盘盘符)
X:\runauto..文件夹
4、删除图3所示的病毒服务项(SRENG日志中也可见此服务项)。此外,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支下的"C:\\windows\\dllhost.exe"="C:\\windows\\dllhost.exe:*:Enabled:dllhost.exe"也要删除。
5、删除病毒添加的IFEO项(图1)。
6、取消IceSword的“禁止进程创建”。
图1
