后门程序rundll320.dll

panqilong · 发表于 2005-6-27 15:23:04

最近用卡巴斯基扫描硬盘时，经常在系统Winnt下的temp文件夹中扫除rundll320.dll，提示其为后门程序，请教各位这个程序是用来干什么的，难道是别人在我的电脑中装的，还是杀毒软件报错？？

okwxq · 发表于 2005-6-27 16:11:09

是不是rundll32.dll啊？

tearock · 发表于 2005-6-27 16:11:57

您仔细看看是不是记错文件名了，关键文件应该为rundll32.dl，对吗？这个文件由系统提供，是操作系统用来调用32位程序的动态链接库文件，很多病毒都会伪装成合法的系统程序利用这个文件实现开机或其他特殊状态下的自身调用，有些病毒甚至直接删改系统自带的原dll文件来达到黑暗目的。举例说明，3721就会调用这个系统文件，而最近流行的BBS尾巴病毒则会直接删改利用之。

tearock · 发表于 2005-6-27 17:13:31

发帖后看到版主大大的回帖，原来所见略同，小生深感荣幸：）

proudwind · 发表于 2005-6-27 20:43:52

hehe，又长了点见识

yadanli2002 · 发表于 2005-6-27 21:57:20

谢谢！！！

panqilong · 发表于 2005-6-29 09:55:00

不好意思，文件名我确实没有看错，刚开始我也以为是rundll32.dll，后来到目录中一看，确实是rundll320.dll。

tearock · 发表于 2005-6-29 12:30:52

果真如此的话，应该是某病毒或后门试图修改或替换您系统中的rundll32.dll文件，但由于安全监控程序对于rundll32.dll这样的重要系统文件盯得很紧，于是乎它们只能舍弃而另外新建一个文件。您可以下一个EXESCOPE，然后比较系统自带的rundll32.dll和rundll320.dll有何不同，我想您会发现这两个文件主体上大致相同，只是在调用程序权限方面会有所差异。

panqilong · 发表于 2005-6-29 14:53:02

有一件事忘了说，杀毒软件判断此程序为backdoor.win32.hupigon.ba.后门程序。

okwxq · 发表于 2005-6-29 19:22:33

这个东西我上午用google搜在卡巴斯基的主页上有找到，当时没时间看，现在找就没有了。不知道卡巴斯基是不是和norton一样有连线技术支持，你可以去卡巴斯基的主页上看看，祝好运：）

coolsila · 发表于 2005-6-29 21:17:43

呵呵，是灰鸽子也，请参考http://www.readfree.net/bbs/htm_data/28/0506/70965.html

okwxq · 发表于 2005-6-29 21:19:14

呵呵，coolsila兄真是有经验啊，谢谢为网友解惑：）

panqilong · 发表于 2005-6-30 09:46:49

在中国安天实验室网站上找到详细介绍和解决方法，在此谢谢大家的帮助！！

Backdoor.win32.hupigon.x 分析

安天信息技术有限公司病毒分析小组

一、病毒标签：
病毒名称： backdoor.win32.hupigon.x

病毒类型：后门

危害等级：高

文件长度： 472,064 字节

感染系统： windows 98 以上版本

开发工具： Delphi

加壳类型： ASProtect

二、病毒描述：
  该病毒属“灰鸽子”的一个变种，感染该病毒后，会释放出5个文件，分别位于%windir%、%windir%\TEMP和系统盘根目录下，感染后在根目录下释放 UNINSTAL.BAT 文件，该批处理文件用于删除原病毒体。注册系统服务，从而以服务的方式启动自身。修改与服务相关的注册表。收集受感染主机的一些信息并发送给远程控制者，如：当前日期，计算机名称， IP 地址，剪切办内容。创建互斥体。通过挂载 API 、远程注入方式通过 80 端口访问网络，继而达到穿透防火墙的目的。是一种危险性较高的病毒。开启代理服务。

三、行为分析：
1 、创建互斥量“ Gpigeon_Shared_MUTEX ”。

2 、将自身复制为 %windir%\system.exe ，并在同位置释放病毒的 DLL 文件：
system.dll 、 system_hook.dll 、 systemkey.dll 。在 %windir%\TEMP\ 下释放 System0.DLL 文件属性：隐藏。

3 、根目录下释放 UNINSTAL.BAT 文件，用于删除原病毒体。

4 、修改注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable

Media Serial Number S

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv

\ImagePath

键： %windir%\TEMP\MC21.TMP

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion

\Internet Settings\ProxyEnable

键： DWORD: 0 (0)

5 、通过修改注册表的键达到随系统启动的目的，修改如下键值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Portable Media Serial Number S

6 、收集受感染主机的一些信息，并发送给远程连接者。

四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置

木马防线：
  木马防线是一款专业级反木马信息安全产品，具备已知木马查杀、未知木马检测、木马防火墙、管理工具、在线升级等功能，能够通过对驱动器、内存、敏感区域、特定目录的扫描，全面查杀隐藏在系统中的各类木马（Trojans）、后门（Backdoors）、蠕虫（Worms）、间谍软件（Spyware）、广告软件（Adware）等恶意程序。


该产品集成了智能未知木马检测引擎（SVE）和强大的木马防火墙，不但可以检测和清除电脑中存在的未知木马程序，还能够监控内存、查封指定IP地址和端口，有效拦截诸如“冲击波”、“震荡波”等漏洞攻击病毒，为系统提供多层保护。

另外，木马防线还提供了IE修复、共享管理、任务管理、进程管理、端口进程关联、网络连接状态等众多专业工具，最大限度地满足专业人士的安全需要。

附：
  安天木马防线试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm

panqilong · 发表于 2005-6-30 10:32:53

顺便找了木马防线的序列号，可以升级，

HS5WFV-UN2CV1-9U5CLT-NF6423

		自动登录	找回密码
密码			注册