ウイルス情報

ウイルス名 危険度

W32/Hupigon.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5013
対応定義ファイル
(現在必要とされるバージョン)
5911 (現在7656)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Backdoor.Trojan (Symantec)Backdoor.Win32.Delf.aws (Kaspersky)BKDR_DELF.FRI (Trendmicro)W32/Devall.A.worm (Panda)Microsoft :Backdoor:Win32/Hupigon.XD Kaspersky :Trojan-Dropper.Win32.Agent.brgq Symantec :Backdoor.Trojan AVG :Dropper.Agent.QPR
情報掲載日 2010/03/19
発見日(米国日付) 2007/04/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Hupigon.wormは、リムーバブルドライブを介して拡散するBackDoor-AWQの亜種です。

TOPへ戻る

ウイルスの特徴

--- 2010年3月18日更新 ---

・W32/Hupigon.wormは電子メール、インスタントメッセンジャー、ネットワーク共有、脆弱性を介して繁殖するワームです。また、バックドア機能も組み込まれています。

ファイルプロパティ

  • MD5: 1D4EAD6673B1988AD67F7D9E74980FF9
  • SHA1: 8E02CE7D1CE4C0857347C93FBA79706892B399B0

・W32/Hupigon.wormはリムーバブルドライブを介して拡散しようとします。

・実行時、以下の場所に自身をコピーします。

  • %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\msbackup.exe
  • %ProgramFiles%\_msbackup.exe
  • %SystemDrive%\msbackup.exe

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\AutoRun.inf

・「AutoRun.inf」ファイルはW32/Hupigon.wormの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Hupigon.wormが自動的に起動されます。

・さらに、Internet Explorerプロセスを起動し、悪質なコードを挿入します。次に、自身を「Backup_Info」という名前のサービスとして登録します。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info\Security

・実行時、以下のサービスを作成します。

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info\]

  • ImagePath = " %ProgramFiles%\Common Files\Microsoft Shared\MSINFO\msbackup.exe"
  • DisplayName = "Backup_Info"
  • ObjectName = "LocalSystem"
  • Description = "Backup System Info"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info\]

  • ImagePath ="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\msbackup.exe"
  • DisplayName = "Backup_Info"
  • ObjectName ="LocalSystem"
  • Description = "Backup System Info"

[%SystemDrive%はWindowsがインストールされているドライブ(ほとんどのコンピュータではC:)、%ProgramFiles%はProgram Filesフォルダを指す変数で、一般的なパスはC:\Program Filesになります]

------------------------------------------

・W32/Hupigon.wormは、実行中に以下のファイルをドロップ(作成)します。

  • %Windir%\lsass.exe

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkdc
    DisplayName" = "Kerberos Key Distribution Centers"
    "ErrorControl" = 0
    "ImagePath" = "%Windir%S\lsass.exe -netsvcs"
    "ObjectName" = "LocalSystem"
    "Start" = 2
    "Description" = (中国語)
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkdc
    DisplayName" = "Kerberos Key Distribution Centers"
    "ErrorControl" = 0
    "ImagePath" = "%Windir%S\lsass.exe -netsvcs"
    "ObjectName" = "LocalSystem"
    "Start" = 2
    "Description" = (中国語)

・W32/Hupigon.wormは、httpを通して以下のリモートサイトに接続し、コマンドを待ちます。

  • ekai[削除].3322.org
  • ttos[削除].3322.org

・起動後、ハッカーは以下の様々なタスクを実行可能になります。

  • ファイルの起動
  • 感染マシン情報の取得(OS、CPU、メモリ等)
  • キーログ

・W32/Hupigon.wormは、以下のプロセスを停止します。

  • EGHOST.EXE
  • KavPFW.EXE
  • KPFW32.EXE
  • RfwMain.EXE
  • RRfwMain.EXE
  • PFW.exe
  • ewido.exe
  • SysSafe.exe
  • FireWall.exe
  • kpf4gui.exe
  • jpf.exe
  • ssgui.exe
  • outpost.exe
  • FYFireWall.exe
  • runiep.exe
  • Ras.exe
  • kav.exe
  • avp.exe
  • avpcc.exe
  • mmc.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。

--- 2010年3月18日更新 ---

  • コードを他のプロセスに挿入します。

TOPへ戻る

感染方法

・W32/Hupigon.wormは、以下のファイルをリムーバブルドライブにコピーします。

  • autorun.pif (W32/Hupigon.wormのコピー)
  • autorun.inf

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る