收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Backdoor 2x (kaba已回信确认Backdoor.Win32.Hupigon2 ...
12下一页
返回列表 发新帖
查看: 3325|回复: 10
收起左侧

[病毒样本] Backdoor 2x (kaba已回信确认Backdoor.Win32.Hupigon2 2x)

[复制链接]
FLogo
发表于 2009-3-1 06:56:14 | 显示全部楼层 |阅读模式
今天发现一个盗用360数字签名的病毒样本!(在其源发布论坛说是超强的专杀工具,拿去在线查毒引擎一查,kaba miss!)其图标是360安全卫士的,可是运行这个病毒样本后,给出的是北信源的杀软!)

另外300多KB的是假冒外挂,针对kaba做的免杀!

以上两个to kaba kill !

[ 本帖最后由 FLogo 于 2009-3-1 07:40 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

FLogo
 楼主| 发表于 2009-3-1 07:02:47 | 显示全部楼层
Hello,

1.exe_ - Backdoor.Win32.Hupigon2.m,
2.exe_ - Backdoor.Win32.Hupigon2.l

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

Hupigon2是新的病毒特征码定义代码?
回复

举报

saga3721
发表于 2009-3-1 07:09:09 | 显示全部楼层
运行红伞杀'BDS/Hupigon.Gen [backdoor]'

第二个 'TR/Crypt.XPACK.Gen [trojan]'
回复

举报

The EQs
发表于 2009-3-1 07:39:57 | 显示全部楼层
Ultra String Reference
Address    Disassembly                               Text String
010016C8   push    01001264                          advapi32.dll
010016F4   push    0100124C                          checktokenmembership
010019F5   push    01001274                          seshutdownprivilegedelnoderundll32advpack.dllwininit.ini%lusoftware\microsoft\windows\currentversion\app paths\
01001A75   push    0100B0CC                          software\microsoft\windows\currentversion\runonce
01001B02   push    0100B0CC                          software\microsoft\windows\currentversion\runonce
01001B38   push    0100B198                          wextract_cleanup%d
01001BA5   push    01001298                          advpack.dllwininit.ini%lusoftware\microsoft\windows\currentversion\app paths\
01001BCE   push    01001288                          delnoderundll32advpack.dllwininit.ini%lusoftware\microsoft\windows\currentversion\app paths\
01001C8F   mov     eax, 0100B1B8                     rundll32.exe %sadvpack.dll,delnoderundll32 "%s"command.com /c %s
01001C9C   mov     eax, 0100B1AC                     %s /d:%s
01001D23   push    0100B0CC                          software\microsoft\windows\currentversion\runonce
01001DC0   push    0100B1B8                          rundll32.exe %sadvpack.dll,delnoderundll32 "%s"command.com /c %s
01001E81   push    010012A4                          wininit.ini%lusoftware\microsoft\windows\currentversion\app paths\
01001FAE   push    0100B134                          pendingfilerenameoperationssystem\currentcontrolset\control\session manager\filerenameoperations
01001FB3   push    0100B100                          system\currentcontrolset\control\session manager
01001FBF   push    0100B150                          system\currentcontrolset\control\session manager\filerenameoperations
01002087   push    010012B0                          %lusoftware\microsoft\windows\currentversion\app paths\
01002308   push    010012B4                          software\microsoft\windows\currentversion\app paths\
010024C0   push    010012E8                          \
01002735   push    01001340                          "
01002742   push    0100133C
010027B1   push    01001334                          .inf
010027F2   push    01001330                          [
01002809   push    0100B0AC                          defaultinstall
01002820   push    0100132C                          ]
01002863   mov     esi, 0100B0AC                     defaultinstall
01002876   push    01001324                          reboot
010028A7   push    01001318                          advancedinfreboot
010028AC   push    01001310                          versionadvancedinfreboot
01002910   mov     dword ptr [ebp-614], 01001304     setupx.dll
01002922   mov     dword ptr [ebp-614], 010012F4     setupapi.dll
01002940   push    0100B01C                          rundll32.exe %s,installhinfsection %s 128 %s
01002965   push    010012EC                          .bat
01002977   mov     edi, 0100B1E8                     command.com /c %s
01002A29   push    0100133C
01002AD2   push    0100134C                          *
01002B2B   push    01001348                          .
01002B37   push    01001344                          ..
01003306   mov     esi, 0100135C                     cabinetixpixp%03d.tmpregserver
010033E9   push    01001344                          ..
0100345F   push    01001368                          ixp%03d.tmpregserver
010034D2   push    01001364                          ixpixp%03d.tmpregserver
01003820   push    01001374                          regserver
01003AEB   push    01001350                          updfile%lu
01003B67   push    01001350                          updfile%lu
01003EDE   mov     esi, 01001380                     loadstring() error.  could not load string resource.
01004219   push    0100B20C                          *memcabrundll32.exe %s,installhinfsection %s 128 %s
010042F9   push    0100B20C                          *memcabrundll32.exe %s,installhinfsection %s 128 %s
01004368   push    010013C8                          filesizes
010043B6   push    010013B8                          packinstspace
010043F9   mov     esi, 010013DC                     uprompttmp4351$.tmp
01004464   push    010013D4                          <none>
01004511   push    010013E4                          tmp4351$.tmp
01004BD1   mov     esi, 010013F4                     licensefinishmsg
01004C43   push    010013D4                          <none>
01004DF2   mov     esi, 010013FC                     finishmsg
01004E3C   push    010013D4                          <none>
01004E7E   push    0100B244                          shell32.dllshgetspecialfolderlocation
01004E9E   push    0100B26C                          shbrowseforfolder
01004EC4   push    0100B280                          shgetpathfromidlistdefaultinstall
01005236   push    0100B20C                          *memcabrundll32.exe %s,installhinfsection %s 128 %s
01005350   push    01001420                          ppcvercheck
01005357   push    01001418                          alpha
0100535E   push    01001410                          mips
01005365   push    01001408                          i386
01005458   push    0100144C                          title
0100549E   push    01001440                          extractopt
010054C5   push    01001430                          instancecheck
010055A0   push    01001424                          vercheck
01005AF9   push    0100148C                          reboot
01005B6D   push    01001480                          showwindow
01005BE3   mov     dword ptr [ebp-11C], 01001478     admqcmdshowwindow
01005BF3   mov     dword ptr [ebp-11C], 01001470     usrqcmdadmqcmdshowwindow
01005C18   push    010013D4                          <none>
01005C4C   push    01001464                          runprogram
01005CA4   push    01001454                          postrunprogram
01005CBE   push    010013D4                          <none>
01005D5C   push    01001298                          advpack.dllwininit.ini%lusoftware\microsoft\windows\currentversion\app paths\
01005D70   push    0100B2B4                          doinfinstall
01005EC5   push    01001298                          advpack.dllwininit.ini%lusoftware\microsoft\windows\currentversion\app paths\
01005EDB   push    0100B2B4                          doinfinstall
01005F38   mov     esi, 01001464                     runprogram
01005FAC   push    010013D4                          <none>
0100606F   push    010014A4                          a:\decryptfilea
0100613A   push    01001494                          msdownld.tmp
01006275   push    01001264                          advapi32.dll
0100629F   push    010014A8                          decryptfilea
0100645C   call    0100646B                          (initial cpu selection)
0100694F   push    010014B8                          control panel\desktop\resourcelocale
0109B19C   mov     esp, 7763F71C                     ase contact your administrator immediately to have a new one assigned.\n\n
010E3DE8   push    77627323                          ed.\n\n
回复

举报

ledled
发表于 2009-3-1 08:04:49 | 显示全部楼层
名称: Packed/NSPack
类型: Sequence

描述:


文件:
c:\users\administrator\desktop\1.exe

名称: Hupigeon
类型: Backdoor

描述:
Gives someone else access to your computer by bypassing the normal authentication procedures.

文件:
c:\users\administrator\desktop\2.exe
回复

举报

Palkia
发表于 2009-3-1 08:38:04 | 显示全部楼层
rs kill 2.exe

backdoor
回复

举报

gzy_hao
发表于 2009-3-1 08:40:02 | 显示全部楼层
第一个加了北斗壳,脱壳后Norton报一个(脱出来的文件解压出来两个文件),ESET NOD32所有文件(包括未脱壳的,已脱壳的,解压出来的)都没报,郁闷。

上报
回复

举报

cliffboy
发表于 2009-3-1 09:29:00 | 显示全部楼层
to kv...
回复

举报

红心王子
发表于 2009-3-1 10:00:30 | 显示全部楼层

avast~ attack all threats!

2009-3-1        9:59:55        1235872795        Administrator        3244        Sign of "Win32:Hupigon-YY [Trj]" has been found in "d:\我的文档\桌面\0301\1\1.exe\[NsPack]\Setup.exe" file.  
2009-3-1        10:00:08        1235872808        Administrator        3244        Sign of "Win32:Hupigon-MBH [Trj]" has been found in "d:\我的文档\桌面\0301\2.exe" file.
回复

举报

fortinet_kyle
发表于 2009-3-1 11:02:28 | 显示全部楼层
Fortinet FortiClient

"1//1.vxe" is clean.
"1//2.vxe" is infected with the "W32/Hupigon.FHA!tr.bdr" virus.

Uploaded To submitvirus@fortinet.com
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-23 06:41 , Processed in 0.083397 second(s), 2 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表