製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス名危険度
W32/Hupigon.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5013
対応定義ファイル
(現在必要とされるバージョン)
5911 (現在7600)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Backdoor.Trojan (Symantec)Backdoor.Win32.Delf.aws (Kaspersky)BKDR_DELF.FRI (Trendmicro)W32/Devall.A.worm (Panda)Microsoft :Backdoor:Win32/Hupigon.XD Kaspersky :Trojan-Dropper.Win32.Agent.brgq Symantec :Backdoor.Trojan AVG :Dropper.Agent.QPR
情報掲載日2010/03/19
発見日(米国日付)2007/04/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Hupigon.wormは、リムーバブルドライブを介して拡散するBackDoor-AWQの亜種です。

ウイルスの特徴TOPに戻る

--- 2010年3月18日更新 ---

・W32/Hupigon.wormは電子メール、インスタントメッセンジャー、ネットワーク共有、脆弱性を介して繁殖するワームです。また、バックドア機能も組み込まれています。

ファイルプロパティ

  • MD5: 1D4EAD6673B1988AD67F7D9E74980FF9
  • SHA1: 8E02CE7D1CE4C0857347C93FBA79706892B399B0

・W32/Hupigon.wormはリムーバブルドライブを介して拡散しようとします。

・実行時、以下の場所に自身をコピーします。

  • %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\msbackup.exe
  • %ProgramFiles%\_msbackup.exe
  • %SystemDrive%\msbackup.exe

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\AutoRun.inf

・「AutoRun.inf」ファイルはW32/Hupigon.wormの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Hupigon.wormが自動的に起動されます。

・さらに、Internet Explorerプロセスを起動し、悪質なコードを挿入します。次に、自身を「Backup_Info」という名前のサービスとして登録します。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info\Security

・実行時、以下のサービスを作成します。

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Backup_Info\]

  • ImagePath = " %ProgramFiles%\Common Files\Microsoft Shared\MSINFO\msbackup.exe"
  • DisplayName = "Backup_Info"
  • ObjectName = "LocalSystem"
  • Description = "Backup System Info"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backup_Info\]

  • ImagePath ="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\msbackup.exe"
  • DisplayName = "Backup_Info"
  • ObjectName ="LocalSystem"
  • Description = "Backup System Info"

[%SystemDrive%はWindowsがインストールされているドライブ(ほとんどのコンピュータではC:)、%ProgramFiles%はProgram Filesフォルダを指す変数で、一般的なパスはC:\Program Filesになります]

------------------------------------------

・W32/Hupigon.wormは、実行中に以下のファイルをドロップ(作成)します。

  • %Windir%\lsass.exe

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkdc
    DisplayName" = "Kerberos Key Distribution Centers"
    "ErrorControl" = 0
    "ImagePath" = "%Windir%S\lsass.exe -netsvcs"
    "ObjectName" = "LocalSystem"
    "Start" = 2
    "Description" = (中国語)
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkdc
    DisplayName" = "Kerberos Key Distribution Centers"
    "ErrorControl" = 0
    "ImagePath" = "%Windir%S\lsass.exe -netsvcs"
    "ObjectName" = "LocalSystem"
    "Start" = 2
    "Description" = (中国語)

・W32/Hupigon.wormは、httpを通して以下のリモートサイトに接続し、コマンドを待ちます。

  • ekai[削除].3322.org
  • ttos[削除].3322.org

・起動後、ハッカーは以下の様々なタスクを実行可能になります。

  • ファイルの起動
  • 感染マシン情報の取得(OS、CPU、メモリ等)
  • キーログ

・W32/Hupigon.wormは、以下のプロセスを停止します。

  • EGHOST.EXE
  • KavPFW.EXE
  • KPFW32.EXE
  • RfwMain.EXE
  • RRfwMain.EXE
  • PFW.exe
  • ewido.exe
  • SysSafe.exe
  • FireWall.exe
  • kpf4gui.exe
  • jpf.exe
  • ssgui.exe
  • outpost.exe
  • FYFireWall.exe
  • runiep.exe
  • Ras.exe
  • kav.exe
  • avp.exe
  • avpcc.exe
  • mmc.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。

--- 2010年3月18日更新 ---

  • コードを他のプロセスに挿入します。

感染方法TOPへ戻る

・W32/Hupigon.wormは、以下のファイルをリムーバブルドライブにコピーします。

  • autorun.pif (W32/Hupigon.wormのコピー)
  • autorun.inf

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足