好像是鸽子

solcroft

杀软毫无动静，靠HIPS拦住了

wangjay1980

detected: Trojan program Backdoor.Win32.Hupigon.cda        URL: http://bbs.kafan.cn/attachment.php?aid=76518/1.exe

tracydk

Starting the file scan:

Begin scan in 'F:\样本\1.zip'
F:\样本\1.zip
  [0] Archive type: ZIP
  --> 1.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
      [INFO]      The file was deleted!

kp2006

detected: Trojan program Backdoor.Win32.Hupigon.cda        URL: http://bbs.kafan.cn/attachment.php?aid=76518/1.exe

aoyang

Filseclab

红心王子

KV把鸽子砍死了，没留下任何情面

金剑

风暴胜者V2 测试版本(http://www.v0day.com)
_________您的安全是我们的责任_______________
载入病毒库…进行整理…分配内存…可以使用
蜜罐检测:正常 OK!

===============================================
   ___________病毒查杀结果__________________


===============================================

2007年5月27日10时45分47秒 开始查杀C:\Documents and Settings\root\桌面\virus\001
C:\Documents and Settings\root\桌面\virus\001\1.exe 为可疑文件
=========================================

_________文件性质分析结果________________
"带壳"仅指文件性质,仅供专业人员分析使用。


-----------------------------------------

2007年5月27日10时45分48秒收起线程…100% 查杀完毕！
扫描文件：1查杀病毒：1

蓝色牛仔裤

beta蜘蛛挂了。。

Check system areas...
Check selected directories and files...
Object: 1.exe
        In archive: C:\Documents and Settings\Administrator\桌面\1.zip
        Status: Virus detected
        Virus: Backdoor.Win32.Hupigon.cda (KAV engine)
Object: 1.zip
        Path: C:\Documents and Settings\Administrator\桌面
        Status: Virus detected
        Virus: Backdoor.Win32.Hupigon.cda (KAV engine)
Analysis complete: 2007-5-27 10:45
    1 files checked
    1 infected files detected
    0 suspected files detected

Aurora_Ysh

Symantec Antivirus                killed by deletion!

jlennon

Processes:
PID        ParentPID        User        Path       
--------------------------------------------------
3052        2536        MSEOSJD88JED:Administrator        C:\Documents and Settings\Administrator\桌面\1\1.exe       

Ports:
Port        PID        Type        Path       
--------------------------------------------------
3627        4        TCP               

Explorer Dlls:
DLL Path        Company Name        File Description       
--------------------------------------------------
No changes Found                       

IE Dlls:
DLL Path        Company Name        File Description       
--------------------------------------------------
No changes Found                       

Loaded Drivers:
Driver File        Company Name        Description       
--------------------------------------------------

Monitored RegKeys
Registry Key        Value       
--------------------------------------------------
Hklm\SYSTEM\CurrentControlSet\Services        RpeSs              

Kernel31 Api Log
       
--------------------------------------------------
***** Installing Hooks *****       
71a270df     RegOpenKeyExA (HKLM\System\CurrentControlSet\Services\WinSock2\Parameters)       
71a27cc4     RegOpenKeyExA (Protocol_Catalog9)       
71a2737e     RegOpenKeyExA (000000ED)       
71a2724d     RegOpenKeyExA (Catalog_Entries)       
71a278ea     RegOpenKeyExA (000000000001)       
71a278ea     RegOpenKeyExA (000000000002)       
71a278ea     RegOpenKeyExA (000000000003)       
71a278ea     RegOpenKeyExA (000000000004)       
71a278ea     RegOpenKeyExA (000000000005)       
71a278ea     RegOpenKeyExA (000000000006)       
71a278ea     RegOpenKeyExA (000000000007)       
71a278ea     RegOpenKeyExA (000000000008)       
71a278ea     RegOpenKeyExA (000000000009)       
71a278ea     RegOpenKeyExA (000000000010)       
71a278ea     RegOpenKeyExA (000000000011)       
71a278ea     RegOpenKeyExA (000000000012)       
71a278ea     RegOpenKeyExA (000000000013)       
71a278ea     RegOpenKeyExA (000000000014)       
71a278ea     RegOpenKeyExA (000000000015)       
71a278ea     RegOpenKeyExA (000000000016)       
71a278ea     RegOpenKeyExA (000000000017)       
71a278ea     RegOpenKeyExA (000000000018)       
71a278ea     RegOpenKeyExA (000000000019)       
71a22623     WaitForSingleObject(7a0,0)       
71a283c6     RegOpenKeyExA (NameSpace_Catalog5)       
71a2737e     RegOpenKeyExA (00000004)       
71a27f5b     RegOpenKeyExA (Catalog_Entries)       
71a280ef     RegOpenKeyExA (000000000001)       
71a280ef     RegOpenKeyExA (000000000002)       
71a280ef     RegOpenKeyExA (000000000003)       
71a22623     WaitForSingleObject(798,0)       
71a11afa     RegOpenKeyExA (HKLM\System\CurrentControlSet\Services\Winsock2\Parameters)       
71a11996     GlobalAlloc()       
7c80b689     ExitThread()       
4001ec     LoadLibraryA(KERNEL32.dll)=7c800000       
4001ec     LoadLibraryA(USER32.dll)=77d10000       
5d173344     GetVersionExA()       
5d1733ab     GetCommandLineA()       
5d174952     GetVersionExA()       
5d1754e8     GetCurrentProcessId()=3052       
5d175742     GetVersionExA()       
7d5f7057     GetVersionExA()       
71a4108d     GetCurrentProcessId()=3052       
76b13e82     GlobalAlloc()       
77bb2e8a     GetCurrentProcessId()=3052       
77bb2fda     GlobalAlloc()       
406a28     GetCommandLineA()       
40603b     RegOpenKeyExA (HKCU\Software\Borland\Locales)       
406059     RegOpenKeyExA (HKLM\Software\Borland\Locales)       
406077     RegOpenKeyExA (HKCU\Software\Borland\Delphi\Locales)       
40d333     GetVersionExA()       
44313a     GetCurrentProcessId()=3052       
442d83     LoadLibraryA(imm32.dll)=76300000       
746826aa     GetVersionExA()       
746830a7     RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\Compatibility\1.exe)       
746830a7     RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\SystemShared\)       
7468245b     CreateMutex(CTF.LBES.MutexDefaultS-1-5-21-1060284298-1214440339-682003330-500)       
7468245b     CreateMutex(CTF.Compart.MutexDefaultS-1-5-21-1060284298-1214440339-682003330-500)       
7468245b     CreateMutex(CTF.Asm.MutexDefaultS-1-5-21-1060284298-1214440339-682003330-500)       
7468245b     CreateMutex(CTF.Layouts.MutexDefaultS-1-5-21-1060284298-1214440339-682003330-500)       
7468245b     CreateMutex(CTF.TMD.MutexDefaultS-1-5-21-1060284298-1214440339-682003330-500)       
746830a7     RegOpenKeyExA (HKCU\Keyboard Layout\Toggle)       
7468260a     RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\)       
74684683     GetCurrentProcessId()=3052       
7468245b     CreateMutex(CTF.TimListCache.FMPDefaultS-1-5-21-1060284298-1214440339-682003330-500MUTEX.DefaultS-1-5-21-1060284298-1214440339-682003330-500)       
7469d232     WaitForSingleObject(73c,1388)       
746b556a     GetCurrentProcessId()=3052       
7c816513     WaitForSingleObject(734,64)       
73658f33     GetVersionExA()       
73665225     GetVersionExA()       
7365d4f4     LoadLibraryA(C:\windows\system32\ole32.dll)=76990000       
45514b     RegOpenKeyExA (HKLM\System\CurrentControlSet\Control\Keyboard Layouts\E0040804)       
458f9d     GetVersionExA()       
472677     LoadLibraryA(ntdll.dll)=7c920000       
77e7fb8e     RegOpenKeyExA (HKLM\Software\Microsoft\Rpc)       
4749e9     GetVersionExA()       
49f7d3     GetVersionExA()       
406df7     CreateMutex()       
4033e8     CreateFileA(C:\windows\bootstat.dat)       
403055     ReadFile()       
4033e8     CreateFileA(C:\windows\cmaudio.dat)       
4033e8     CreateFileA(C:\windows\cmijack.dat)       
4033e8     CreateFileA(C:\windows\cmuninst.dat)       
4a1fd1     Copy(C:\Documents and Settings\Administrator\桌面\1\1.exe->C:\windows\svchost.exe)       
7c828823     ReadFile()       
7c82885c     WriteFile(h=708)       
77db5f5e     WaitForSingleObject(708,2bf20)       
77db5f5e     WaitForSingleObject(704,2bf20)       
77db5f5e     WaitForSingleObject(700,2bf20)       
4588b9     RegOpenKeyExA (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp)       
4589fe     RegDeleteValueA (NoRealMode)       
402e31     CreateFileA(C:\windows\uninstal.bat)       
402d5c     WriteFile(h=700)       
4a1660     CreateProcessA((null),C:\windows\uninstal.bat,0,(null))       
7c819154     LoadLibraryA(advapi32.dll)=77da0000       
10001e25     LoadLibraryA(psapi.dll)=76bc0000       
10001e66     GetCurrentProcessId()=3052       
76bc183b     ReadProcessMemory(h=700)       
76bc185a     ReadProcessMemory(h=700)       
76bc1878     ReadProcessMemory(h=700)       
76bc17bb     ReadProcessMemory(h=700)       
*****   Injecting C:\iDEFENSE\SysAnalyzer\api_log.dll into new process       
*****   OpenProcess Handle=700       
*****   Remote Allocation base: 140000       
*****   WriteProcessMemory=1 BufLen=23  BytesWritten:23       
*****   LoadLibraryA=7c801d77       
*****   CreateRemoteThread=6fc       
4a20e7     ExitProcess()       
74681d36     GetCurrentProcessId()=3052       
74682056     GetCurrentProcessId()=3052       
7d5f6a01     GetCurrentProcessId()=3052       
***** Injected Process Terminated *****       

DirwatchData
       
--------------------------------------------------
WatchDir Initilized OK       
Watching C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp       
Watching C:\windows       
Watching C:\Program Files       
Modifed: C:\windows\cmuninst.dat       
Deteled: C:\windows\cmuninst.dat       
Created: C:\windows\svchost.exe       
Modifed: C:\windows\svchost.exe       
Modifed: C:\windows\system32\config\system.LOG       
Modifed: C:\windows\system32\wbem\Logs\wbemess.log       
Created: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\JETF7AF.tmp       
Created: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\JET31.tmp       
Deteled: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\JET31.tmp       
Modifed: C:\windows\Debug\UserMode\userenv.log       
Deteled: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\JETF7AF.tmp       
Created: C:\windows\uninstal.bat       
Deteled: C:\windows\uninstal.bat       
Modifed: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF51E8.tmp       
Modifed: C:\windows\system32\wbem\Repository\FS\INDEX.MAP       
Modifed: C:\windows\system32\wbem\Repository\FS\OBJECTS.MAP       
Modifed: C:\windows\system32\wbem\Repository\FS\MAPPING1.MAP       
Modifed: C:\windows\system32\wbem\Repository\FS\MAPPING.VER       
Modifed: C:\windows\Prefetch\NOTEPAD.EXE-336351A9.pf