求助关于该样本的详细资料和危害

eriato

因为新装了2K3，没有装杀软，只装了returnil和EQ+360，今天没事干就拿出360扫描了下，说发现了木马，文件就是附件中的DNS.exe,是由上面那个亮度调节工具释放出来的，又用VT扫描了下。

文件 DNS.rar 接收于 2008.08.13 18:25:37 (CET)
结果: 24/35 (68.58%)

AntiVir ：TR/Crypt.NSPI.Gen
AVG:  BackDoor.Hupigon4.AAJO
BitDefender:  Backdoor.Hupigon.AADE
Dr Web: Trojan.DownLoader.61793

Kaspersky: Backdoor.Win32.Hupigon.dexj
.........

当天因为是开的学习模式打开的那个亮度调节工具，查看了下日志如下：

2008-08-11 19:01:19    创建文件      操作:允许(自动创建规则)
进程路径:Z:\显示器暗亮调节和音量调节工具.exe
文件路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\Prun.exe

2008-08-11 19:01:21    创建文件      操作:允许(自动创建规则)
进程路径:Z:\显示器暗亮调节和音量调节工具.exe
文件路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\显示器暗亮调节和音量调节工具.exe

2008-08-11 19:01:22    修改文件      操作:允许(自动创建规则)
进程路径:Z:\显示器暗亮调节和音量调节工具.exe
文件路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\显示器暗亮调节和音量调节工具.exe

2008-08-11 19:01:22    创建文件      操作:允许(自动创建规则)
进程路径:Z:\显示器暗亮调节和音量调节工具.exe
文件路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\复方法ll.exe

2008-08-11 19:01:22    修改文件      操作:允许(自动创建规则)
进程路径:Z:\显示器暗亮调节和音量调节工具.exe
文件路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\复方法ll.exe

2008-08-11 19:01:25    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\复方法ll.exe
文件路径:C:\WINDOWS\system32\drivers\beep.sys

2008-08-11 19:01:25    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\Prun.exe
文件路径:Z:\rinrun.bat

2008-08-11 19:01:25    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\复方法ll.exe
文件路径:C:\WINDOWS\DNS.exe

2008-08-11 19:01:26    读取文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\Prun.exe
文件路径:Z:\rinrun.bat

2008-08-11 19:01:27    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\Prun.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c rinrun.bat

2008-08-11 19:01:27    安装服务或者驱动      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\DNS.exe

2008-08-11 19:01:28    读取文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:Z:\rinrun.bat

2008-08-11 19:01:28    删除文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\Prun.exe

2008-08-11 19:01:30    修改其它进程内存      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\DNS.exe
目标进程:C:\WINDOWS\system32\svchost.exe

2008-08-11 19:01:50    模拟键盘鼠标      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\显示器暗亮调节和音量调节工具.exe

因为有Returnil开启，并没有表现出什么一样，期间360有提示到DNS添加自启动项，由于个人习惯，对于自己不了解或不信任的自启动项或服务都拒绝，所以也拒绝了。至今就C盘windows目录中留有DNS.exe文件，没有看到什么异象。

我这里主要是想了解下，如果这个dns.exe触发，会有什么危害呢？不知道有没有朋友知道哦。

eriato

自己先顶上去，谁帮忙看看

Redevil

Backdoor.Win32.Hupigon.bsxd
Backdoor.Win32.Hupigon.dexj
卡巴报
http://www.threatexpert.com/report.aspx?md5=7886298195c43aa814a513490029a50d
http://www.threatexpert.com/report.aspx?md5=dfcc587c918d7f0a91c3ee5a3ddd8ec8

[ 本帖最后由 Redevil 于 2008-8-14 02:11 编辑 ]

eriato

谢谢你的帮忙！

scottxzt

2008-08-11 19:01:22    创建文件      操作:允许(自动创建规则)
进程路径:Z:\显示器暗亮调节和音量调节工具.exe
文件路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\复方法ll.exe


2008-08-11 19:01:25    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\ERIATO\Local Settings\Temp\复方法ll.exe
文件路径:C:\WINDOWS\DNS.exe

303898443

卡巴454都报了木马。

mofunzone

Starting the file scan:

Begin scan in 'C:\Users\Morgan\Desktop\显示器暗亮调节和音量调节工具.rar'
C:\Users\Morgan\Desktop\
  显示器暗亮调节和音量调节工具.rar
    [0] Archive type: RAR
      --> ￏￔￊﾾￆ￷ﾰﾵ￁￁ﾵ￷ﾽￚﾺￍￒ￴￁﾿ﾵ￷ﾽￚﾹﾤﾾ￟.exe
        [1] Archive type: RSRC
        --> Object
          [2] Archive type: Runtime Packed
          --> Object
    [NOTE]      The file was deleted!
Begin scan in 'C:\Users\Morgan\Desktop\DNS.rar'
C:\Users\Morgan\Desktop\
  DNS.rar
    [0] Archive type: RAR
    --> DNS.exe
      [DETECTION] Is the TR/Crypt.NSPI.Gen Trojan
    [NOTE]      The file was deleted!

Palkia

金山 2

啊弥陀佛

微点拦截

tian832

后门