[转帖]警惕Backdoor.Win32.Hupigon.cda灰鸽子变种...

转帖: 警惕Backdoor.Win32.Hupigon.cda灰鸽子变种

 　 Backdoor.Win32.Hupigon.cda病毒为灰鸽子变种，由于用到了加壳技术，至今仍有许多反病毒软件无法查杀。该病毒图标为瑞星防火墙图标，用以迷惑用户点击。病毒运行后复制自身到 windows 目录下，并重命名为 maconfig.exe ，删除自身。修改注册表，新建服务，并以服务的方式达到随机启动的目的。病毒运行后可远程控制用户机器。

清除方案：
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程
IEXPLORE.EXE
(2) 删除病毒文件：
%windir%\ maconfig.exe
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\ImagePath
值 : 类型 : REG_EXPAND_SZ 长度 : 24 字节
43 3A 5C 57 49 4E 44 4F 57 53 5C 6D 61 63 6F 6E | C:\WINDOWS\macon 66 69 67 2E 65 78 65 00 | fig.exe.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\maconfig\Start
值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\maconfig\Type
值 : DWORD: 272 (0x110)
停止服务： maconfig
并将其启动类型改为：已禁止。

相关链接请参见：http://www.antiy.com/security/report/20070309.htm